每日安全动态推送(24/12/2)
2024-12-2 15:23:0 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

•  tuned:D-Bus方法中的本地根权限漏洞及其他问题分析(CVE-2024-52336,CVE-2024-52337)
tuned: local root exploit in D-Bus method instance_create and other issues in tuned >= 2.23 (CVE-2024-52336, CVE-2024-52337)

本文揭示了在Red Hat的性能调整守护进程(tuned)中存在严重安全漏洞,允许本地用户通过D-Bus接口执行任意脚本获得根权限。此发现对于理解与防范系统级软件中的潜在威胁至关重要。

•  RomComAPT利用零日漏洞攻击Firefox和Windows
RomComAPT Exploits Zero-Day Bugs in Firefox and Windows

与俄罗斯关联的高级持续性威胁(Advanced Persistent Threat, APT)群体RomCom,也被称为Storm-0978、Tropical Scorpius以及UNC2596,利用了存在于Mozilla Firefox和Microsoft Windows中的未公开零日漏洞,实现了无需任何用户操作即能执行恶意代码的目标。该APT组织借助这两个漏洞——其中一个为Firefox动画时间线特性中的释放后使用(UAF)错误(CVE-2024-9680),使攻击者得以在浏览器沙箱内部执行代码;而另一个则是Windows任务计划服务中的特权升级漏洞(CVE-2024-49039)。通过精心设计的攻击链条,RomCom可以在受害者的设备上部署同名后门工具,从而在全球范围内对Firefox和Tor用户造成危害。

•  Linux蓝牙子系统SCO连接管理中的UAF漏洞分析与修复
Analysis and Remediation of UAF Vulnerability in SCO Connection Management of Linux's Bluetooth Subsystem

本专题聚焦于Linux内核蓝牙子系统中SCO(同步连接导向)模块存在的一种特殊竞争条件下的使用后释放(UAF)安全问题。通过对具体技术细节的研究,发现了在异步HCI事件线程调用过程中可能发生的已删除SCO连接对象重新引用的问题,这将导致严重的安全隐患。一系列由Luiz Augusto von Dentz提出的补丁引入了kref机制用于监控和管理SCO连接的生命周期,有效防止了UAF漏洞的发生。

•  ThinkPad X230摄像头静默入侵事件
Silent Intrusion on ThinkPad X230's Webcam Incident

近期揭露的一起严重漏洞显示,ThinkPad X230笔记本电脑的网络摄像头存在隐患,使得攻击者能够在未触动LED指示灯的情况下秘密接入并控制摄像头。此次事件涉及对USB供应商请求下的固件改写、软件层面的LED控制及内存映射GPIO操作等问题的研究,最终导致一种多步骤的恶意利用方式被研发出来,从而实现在不引起任何警示信号的前提下执行任意代码并对LED状态进行全面掌控。

•  苹果Safari浏览器重大远程代码执行漏洞CVE-2024-44308:已遭野外利用
Apple Safari Remote Code Execution Vulnerability Exploited In The Wild

本文揭示了苹果Safari浏览器中一个关键的远程代码执行漏洞(CVE-2024-44308),该漏洞已在野外被积极利用,影响包括iOS、iPadOS、macOS和visionOS在内的多个平台。文章详细分析了漏洞的技术细节,并强调了及时更新软件以防范风险的重要性。

•  摇滚明星2FA:目标微软365的AiTM钓鱼攻击
Rockstar 2FA: Targeting Microsoft 365 via AiTM Phishing Assaults

一种称为"摇滚明星2FA"的新颖钓鱼工具包正以Adversary-in-the-Middle (AiTM) 技术为目标,专门针对微软365用户实施攻击。这款工具包能有效绕过多因素认证系统,捕获用户登录凭证和会话Cookie,即便启用多层安全防御亦难逃一劫。自2024年起,涉及数千个域的大量钓鱼活动已证实与之相关联。

•  击中Active Directory心脏:NTLM至LDAP中继攻击深入研究
NTLM Relaying to LDAP - The Hail Mary of Network Compromise

本文深入探讨了NTLM中继攻击在Active Directory环境中的应用,特别是针对LDAP的攻击方式。作者详细分析了利用WebClient服务进行身份验证胁迫的方法,并通过DNS解析和LLMNR等技术实现远程主机的身份冒充,最终达到账户接管的目的。这是对网络安全领域的重要贡献,展示了高级持续性威胁(APT)如何巧妙地绕过传统防御机制。

•  DedeCMS v5.7 SP2后台SSTI到RCE再到GetShell
Remote Code Execution (RCE) via Template Injection in DedeCMS v5.7 SP2 Backend

本文深入剖析了DedeCMS v5.7 SP2版本中存在的严重安全漏洞——模板注入导致远程代码执行(RCE)和获得WebShell。作者详细展示了从登录后端开始至成功利用的过程,包括对核心文件如common.inc.php及arc.partview.class.php的功能解读,揭示了如何绕过检查并在模板中嵌入恶意代码。

* 查看或搜索历史推送内容请访问:
https://sectoday.tencent.com/
* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号: 腾讯玄武实验室


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5NDYyNDI0MA==&mid=2651959926&idx=1&sn=f31aa9f1f5141e4be91bd3179caaac2c&chksm=8baed2e9bcd95bfff4e1dccd8a9e75358aad8211bda447047ade2390a459c1925cb9661de090&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh