Aggregator

A vulnerability classified as problematic has been found in Apple watchOS up to 8.6. This affects an unknown part of the component Kernel. The manipulation leads to out-of-bounds read. This vulnerability is uniquely identified as CVE-2022-32817. The attack needs to be approached locally. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Apple macOS and classified as problematic. Affected by this issue is some unknown functionality of the component Calendar. The manipulation leads to information disclosure. This vulnerability is handled as CVE-2022-32805. Local access is required to approach this attack. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in Apple macOS. This affects an unknown part of the component Kernel. The manipulation leads to Local Privilege Escalation. This vulnerability is uniquely identified as CVE-2022-32815. The attack needs to be approached locally. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic was found in Apple macOS. This vulnerability affects unknown code of the component Kernel. The manipulation leads to out-of-bounds read. This vulnerability was named CVE-2022-32817. An attack has to be approached locally. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Apple macOS and classified as critical. Affected by this issue is some unknown functionality of the component WebKit. The manipulation leads to improper restriction of rendered ui layers. This vulnerability is handled as CVE-2022-32816. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in Apple tvOS up to 15.5.1. This issue affects some unknown processing of the component Kernel. The manipulation leads to memory corruption. The identification of this vulnerability is CVE-2022-32815. An attack has to be approached locally. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Apple iOS and iPadOS up to 15.5 and classified as critical. Affected by this vulnerability is an unknown functionality of the component Kernel. The manipulation leads to Local Privilege Escalation. This vulnerability is known as CVE-2022-32815. Local access is required to approach this attack. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Apple watchOS up to 8.6. It has been classified as critical. This affects an unknown part of the component WebKit. The manipulation leads to improper restriction of rendered ui layers. This vulnerability is uniquely identified as CVE-2022-32816. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Zodiacdm Aboutme-plugin 1.1.1. This affects an unknown part. The manipulation of the argument AboutMe/Bks leads to cross site scripting. This vulnerability is uniquely identified as CVE-2012-6557. It is possible to initiate the attack remotely. Furthermore, there is an exploit available.

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，与俄罗斯有关联的黑客组织近期针对塔吉克斯坦政府、学术及科研机构发动新型网络间谍行动。 Recorded Future旗下Insikt Group将2025年1月至2月期间的攻击活动归因于名为TAG-110的威胁组织，该团伙被认为与俄罗斯军事情报机构支持的APT28（又名BlueDelta）存在关联。 攻击者通过投递政府主题的钓鱼邮件实施入侵，诱饵文件包括塔吉克斯坦武装部队辐射安全通知和首都杜尚别选举日程表等伪造文档。研究人员指出，此次行动标志着TAG-110战术的重大转变——该组织弃用此前惯用的Hatvibe恶意软件，转而利用启用宏的Word模板作为初始感染载体。若攻击得逞，攻击者可能部署Cherryspie、Logpie等间谍工具或新型定制恶意软件。 自2021年以来，TAG-110持续在中亚地区开展网络间谍活动，其攻击目标还涉及印度、以色列、蒙古和乌克兰等国的实体。Insikt Group分析认为，此类行动与俄罗斯维持该地区战略影响力的宏观目标相契合，尤其是在区域格局变动与地缘政治紧张加剧的背景下。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化加密货币交易所Cetus周四凌晨遭攻击，损失金额达2.23亿美元。该公司最初在社交媒体向用户通报称因安全原因暂停平台运营，经调查后确认攻击者已窃取资金。平台声明表示：“我们立即采取行动锁定智能合约防止进一步资金流失”，并称已成功“冻结”1.62亿美元被盗资产。 基于Sui区块链运营的Cetus未就“冻结”的具体技术含义作出回应，但透露正与Sui基金会等机构合作追回剩余资金，承诺后续发布完整事件报告。区块链安全专家分析链上数据发现，约5000万美元被盗资金已转入新钱包地址。 关于攻击根源存在显著争议：部分人士援引Cetus官方Discord频道的消息，认为黑客利用协议漏洞实施窃取；彭博社援引专家观点称攻击可能涉及代币价格操纵。Cetus曾在四月披露平台累计处理交易量达500亿美元。 此次事件发生距朝鲜黑客组织攻击Bybit交易所致14亿美元损失仅三个月。2025年加密货币领域安全事件频发，Coinbase上周披露因内部员工泄密导致近7万名用户遭钓鱼攻击。区块链研究机构Chainalysis数据显示，2024年加密货币平台被盗金额超20亿美元。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国北卡罗来纳州全服务解剖病理实验室Marlboro-Chesterfield Pathology（MCP）近期遭遇勒索软件攻击，导致大量个人信息记录遭窃。该机构于官网发布的数据泄露通知显示，2025年1月16日发现内部IT系统存在未经授权活动，调查证实攻击者窃取了部分文件。 此次泄露数据包含姓名、住址、出生日期、医疗治疗信息及健康保险信息等敏感内容，具体泄露字段因个体差异有所不同。MCP本周向美国卫生与公众服务部（HHS）通报称，事件影响范围涉及235,911人。 勒索软件组织SafePay于一月下旬宣称对此次攻击负责，该团伙近期还攻击了商业服务提供商Conduent。值得关注的是，截至发稿时MCP已从SafePay的泄密网站下架，暗示受害方可能已支付赎金。SecurityWeek已联系涉事机构寻求置评，但尚未获得回应。 此次事件再次印证医疗行业面临的网络安全危机。当前医疗数据泄露呈现规模化特征，同类事件常波及数十万受害者，部分重大案例甚至影响数百万至数千万人。攻击者利用医疗机构IT系统漏洞与老旧设备防护薄弱点，通过勒索软件、网络钓鱼等手段实施数据窃取与系统加密，对患者隐私与机构运营构成双重威胁。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

南亚“苦象”攻击组织近期样本分析；SideWinder 针对南亚多国目标进行攻击；Operation(润)RUN：“离岸爱国者”的赛博狂欢；APT28 利用 MDaemon 0day漏洞攻击Webmail 服务器

复旦大学系统软件与安全实验室白泽战队获第十八届全国大学生软件创新大赛软件系统攻防赛道全国总冠军

HackerNews 编译，转载请注明出处： 网络安全研究人员发现针对macOS用户的伪造Ledger应用攻击活动持续升级，攻击者通过恶意软件窃取加密货币钱包助记词。Moonlock Lab追踪数据显示，此类攻击自2024年8月起已从单纯窃取密码升级为直接劫持数字资产。以下是攻击技术演进与防护建议： 恶意软件技术演变 Odyssey新型窃取程序：2025年3月发现的Odyssey恶意程序会替换受害者设备的合法Ledger Live应用，通过伪造”严重错误”弹窗诱导用户输入24词助记词。该程序可窃取macOS账户信息，并将钓鱼页面数据发送至攻击者的命令与控制服务器。 AMOS窃取器模仿攻击：地下论坛迅速出现模仿攻击，AMOS窃取器通过名为JandiInstaller.dmg的文件绕过Gatekeeper防护，安装篡改版Ledger Live。用户在输入助记词后会收到”应用损坏”虚假提示，攻击者利用时间差转移资产。 混合攻击模式扩展：Jamf公司发现新型攻击使用PyInstaller打包的二进制文件，在伪造的Ledger Live界面内嵌iframe加载钓鱼页面。此类混合攻击同时窃取浏览器数据、热钱包配置及系统信息，形成多维数据窃取链。 新兴威胁态势 暗网用户@mentalpositive近期宣传“反Ledger”攻击模块，虽暂未发现有效样本，但预示更复杂攻击工具可能出现。 攻击基础设施溯源发现关联政府实体的IP地址，该地址自2024年7月起托管多个macOS恶意文件。 企业级防护建议 应用来源管控：仅从Ledger官网下载应用，验证数字签名与哈希值。警惕第三方平台或弹窗推送的“紧急更新”。 助记词操作规范：助记词仅用于硬件钱包初始化/恢复场景，且必须通过物理设备输入。任何要求在网络界面输入助记词的行为均为钓鱼攻击。 系统防护强化：启用macOS完整磁盘访问控制，定期审计具有CreateChild权限的账户。部署EDR解决方案监控异常进程创建行为。 安全意识培训：重点识别钓鱼页面特征：非常规域名（如ledger-recovery.info）、紧迫性话术诱导、非官方通讯渠道通知。 技术监测手段：监控事件日志ID 5136（对象属性修改）、5137（服务主体创建）、2946（Kerberos认证请求），配置SIEM规则实时告警。 此次攻击活动揭示硬件钱包生态面临的新挑战：即使采用冷存储方案，配套软件的安全漏洞仍可能成为突破口。Moonlock Lab强调，攻击者正利用macOS用户对系统安全性的过度信任心理，结合社会工程学构建复合攻击链。随着加密货币持有者规模扩大，此类针对性攻击预计将持续增长。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

第三届京麒CTF开赛倒计时一天！

内容来自2025年05月14日，百度蓝军北京小队队长张冠廷老师在京东第十七期京麒沙龙上的技术分享的语音转录。

Lantronixが提供するDevice Installerには、XML外部エンティティ参照（XXE）の不適切な制限の脆弱性が存在します。

Rockwell Automationが提供するFactoryTalk Historian ThingWorxには、XML外部エンティティ参照（XXE）の不適切な制限の脆弱性が存在します。

HackerNews 编译，转载请注明出处： 研究人员发现Windows Server 2025存在权限提升漏洞，攻击者可借此攻陷Active Directory（AD）中的任意用户。Akamai安全研究员Yuval Gordon在报告中指出：“该攻击利用Windows Server 2025新增的委托托管服务账户（dMSA）功能，在默认配置下即可实施且实现难度极低。我们检测的环境中有91%存在具备攻击条件的非域管理员用户。” 这项被命名为BadSuccessor的攻击技术主要针对微软为防御Kerberoasting攻击引入的dMSA功能。根据微软文档，dMSA允许创建独立账户或替代现有标准服务账户。当替代发生时，原账户密码认证会被阻断，请求将重定向至本地安全机构（LSA）使用dMSA认证，后者自动继承原账户在AD中的所有访问权限。 Akamai发现的关键问题在于：dMSA的Kerberos认证阶段，密钥分发中心（KDC）签发的票据授予凭证（TGT）中嵌入的特权属性证书（PAC）会同时包含dMSA自身的安全标识符（SID）、被替代服务账户及其关联组的SID。攻击者通过模拟dMSA迁移流程，可让KDC误判合法权限继承，进而获取目标用户的完整权限——即使企业未实际部署dMSA功能。 Gordon解释：“攻击过程无需对被替代账户拥有任何权限，仅需对任意dMSA对象具备属性写入权限。我们将dMSA标记为某用户的前任账户后，KDC就会自动授予该dMSA与原用户完全相同的权限。” Akamai已于2025年4月1日向微软提交漏洞细节，微软将其评估为中等严重性，认为成功利用需攻击者已具备对dMSA对象的特定权限，故暂不发布紧急补丁。目前该公司正在开发修复程序。 鉴于漏洞暂无官方修复方案，建议企业采取以下措施： 限制创建dMSA账户的权限，特别是检查各组织单元（OU）的非默认主体权限。 部署Akamai提供的PowerShell脚本检测具备CreateChild权限的账户。 加强AD对象属性修改行为的日志监控，重点关注事件ID 5136等关键日志项。 该漏洞的特殊性在于：即使攻击者仅拥有普通用户常见的CreateChild权限，也可通过操纵dMSA属性接管域内任意账户，其危害程度等同于具备DCSync攻击所需的目录复制权限。微软文档显示，dMSA功能设计初衷是帮助企业安全迁移遗留服务账户，但此次研究表明新安全功能本身可能成为攻击突破口。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文