FreeBuf早报 | 微软Copilot被用于窃取OAuth令牌;OpenAI首款AI浏览器被恶意提示词攻破
全球网络安全事件频发:AI工具滥用、零日漏洞利用、钓鱼攻击及特定行业定向打击等问题突出。 2025-10-27 09:14:58 Author: www.freebuf.com(查看原文) 阅读量:1 收藏

全球网安事件速递

1. 微软Copilot被用于窃取OAuth令牌,AI Agent成为攻击者帮凶

新型CoPhish钓鱼攻击利用Microsoft Copilot Studio创建伪装聊天机器人,诱导用户授权窃取OAuth令牌,绕过微软安全措施。攻击者可借此访问敏感数据,凸显AI工具定制功能的安全风险。专家建议加强权限管控、监控可疑活动,警示企业需警惕低代码平台与身份系统结合带来的混合威胁。【外刊-阅读原文

2. OpenAI首款AI浏览器Atlas上线仅一周即被恶意提示词攻破

OpenAI的ChatGPT Atlas浏览器存在严重漏洞,攻击者可伪造URL注入恶意指令,绕过安全检查窃取数据或执行未授权操作。漏洞源于地址栏解析机制模糊,AI Agent权限过高。OpenAI承认风险但表示已采取防护措施,专家警告此类攻击可能蔓延。【外刊-阅读原文

3. 黑客正积极利用Windows Server Update Services远程代码执行漏洞

微软WSUS曝高危漏洞CVE-2025-59287(CVSS 9.8),允许远程代码执行。攻击已现,PoC加速扩散。微软紧急发布补丁,CISA要求11月14日前修复。未修补系统面临APT入侵风险,建议立即更新或禁用WSUS角色。【外刊-阅读原文

4. 朝鲜攻击者组织Lazarus针对无人机行业发起窃密攻击

朝鲜黑客组织Lazarus发起"DreamJob"行动,针对欧洲无人机企业,通过伪造招聘文件植入恶意软件ScoringMathTea RAT窃取技术,采用双重加密和内存驻留技术增强隐蔽性。【外刊-阅读原文

5. 70.6 万余台 BIND 9 解析器实例暴露在线易遭缓存投毒攻击 - PoC 已公开

BIND 9解析器曝高危漏洞(CVE-2025-40778),攻击者可远程投毒DNS缓存,重定向流量至恶意网站。全球超70万实例受影响,CVSS评分8.6。ISC紧急发布补丁,建议升级至安全版本或限制递归访问。PoC代码已公开,威胁加剧。【外刊-阅读原文

6. YouTube幽灵网络曝光:协同频道通过游戏/软件破解传播信息窃取恶意软件

Check Point揭露YouTube"幽灵网络"大规模分发恶意软件,利用虚假账号和游戏/软件破解诱饵,针对全球用户传播信息窃取器,2025年活动激增三倍,已识别3000多恶意视频。【外刊-阅读原文

7. 揭秘"短信钓鱼三人组":19.4万个恶意域名支撑全球钓鱼即服务活动

"短信钓鱼三人组"发起大规模全球钓鱼活动,仿冒邮政、银行等机构,已注册19.4万恶意域名。其高度分散的基础设施和Telegram上的PhaaS生态系统使攻击高效且难追踪,结合中美混合架构增强隐蔽性。【外刊-阅读原文

8. DDoS攻击、数据窃取与恶意软件肆虐游戏产业

疫情期间游戏产业爆发式增长,伴随DDoS攻击激增、恶意软件传播、数据泄露和洗钱风险。玩家防护意识薄弱,第三方平台隐患多,开发速度超越安全响应,合规意识亟待加强,行业面临严峻安全挑战。【外刊-阅读原文

9. 黑客利用73个0Day漏洞斩获102.475万美元奖金

Pwn2Own爱尔兰站2025落幕,黑客利用73个0Day漏洞获102万美元奖金,突显网络安全挑战。赛事覆盖智能家居、打印机等设备,技术创新与厂商协作成亮点。Summoning Team夺冠,东京汽车黑客赛将启。【外刊-阅读原文

10. 谷歌曝光UNC6229组织"虚假招聘"活动:通过虚假职位诱饵入侵广告账户

越南黑客组织UNC6229通过正规招聘平台发布虚假职位,针对数字广告从业者发起社交工程攻击,诱骗安装恶意软件或泄露凭证,入侵高价值广告账户牟利。攻击分阶段实施,利用合法SaaS平台管理通信,最终通过恶意附件或钓鱼链接窃取数据。【外刊-阅读原文

优质文章推荐

1. 冷门Go、Rust、Nim、Zig免杀技术

C/C++是免杀首选语言,性能高但复杂;C#易用但易被检测;Python新手友好但实现复杂;Go适合网络工具免杀;Rust性能强但语法难;Nim和Zig小众但效果好。不同语言需结合加密、加载器优化绕过检测。【阅读原文

2. Linux Sudo 提权漏洞(CVE-2025-32463)漏洞复现及详细分析

Sudo 1.9.14-1.9.17存在严重权限提升漏洞,攻击者可伪造/etc/nsswitch.conf诱骗加载恶意库获取root权限。影响范围有限,建议升级至1.9.17p1或禁用chroot功能临时缓解。【阅读原文

3. 渗透测试-进阶|适合新手小白:JS算法逆向,断点调试,真实案例

文章系统讲解JS逆向加密算法,包括寻找加密逻辑、逆向分析、真实案例演示及BP插件应用,帮助初学者掌握从定位到破解的全流程,强调实践与AI辅助的重要性。【阅读原文

漏洞情报精华

1. 金和OA ExamineNodSingletonXml.aspx XXE漏洞

https://xvi.vulbox.com/detail/1981677841238069248

2. 金和OA ExcerptAppraiseSet.aspx XXE漏洞

https://xvi.vulbox.com/detail/1982698123486695424

3. 金和OA AppraiseScoreUpdate.aspx SQL注入漏洞

https://xvi.vulbox.com/detail/1981325356392648704

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/454301.html
如有侵权请联系:admin#unsafe.sh