一周网安动态
Weekly Network Security
2023-04-03 周一
20230327-20230402
LEISHI
# 内容预览 #
政策法规
1、市场监管总局公布《互联网广告管理办法》
2、信安标委下达2023年第一批网络安全推荐性国家标准计划
3、电子数据取证三项国家标准更新,10月1日实施
安全事件
1、Twitter 源代码泄露
2、新的MacStealer macOS 恶意软件窃取 iCloud 数据和密码
3、威胁分子滥用AI生成的Youtube视频传播窃取信息的恶意软件
4、泄露用户信息长达一年半,丰田被服务商坑惨了
5、国家网信办:防止泄露未成年人隐私的欺凌视频扩散
6、微软正式将GPT-4引入安全,行业颠覆似乎来了
7、微软推出事件响应保留器
8、微信、QQ“崩了”
漏洞情报
1、CVE-2023-27326丨Parallels Desktop VM Escape
2、Windows CVE-2023-21768 本地提权poc
3、CVE-2023-21716 RCE漏洞(附EXP)
4、Sudo权限提升漏洞分析(CVE-2023-22809)
5、MLFlow 任意文件读取漏洞(CVE-2023-1177)
6、3CXDesktop App 代码执行漏洞安全风险通告
# 政策法规 #
01
市场监管总局公布《互联网广告管理办法》
近日,市场监管总局修订发布了《互联网广告管理办法》(以下简称《办法》),《办法》将于2023年5月1日起施行。
消息来源:
02
信安标委下达2023年第一批
网络安全推荐性国家标准计划
近日,国家标准化管理委员会下达了2023年第一批推荐性国家标准计划。其中由全国信息安全标准化技术委员会归口的标准项目共计26项。
消息来源:
03
电子数据取证三项国家标准更新,
10月1日实施
3月17日,2023年第1号国家标准公告发布,其中电子数据取证三项国家推荐性标准更新。
消息来源:
# 安全事件 #
01
Twitter 源代码泄露
Cyberkendra 网站披露,推特最近遭遇了一次罕见的源代码泄露事件,一份法律文件显示推特部分源代码在网上曝光。
消息来源:
https://www.cyberkendra.com/2023/03/twitter-source-code-leaked-on-github.html
02
新的MacStealer macOS
恶意软件窃取 iCloud 数据和密码
MacStealer恶意软件使用 Telegram 作为命令和控制 (C2) 平台,主要影响运行 macOS 版本 Catalina 以及之后运行在 M1 和 M2 CPU 上的设备。
消息来源:
https://thehackernews.com/2023/03/new-macstealer-macos-malware-steals.html
03
威胁分子滥用AI生成的Youtube
视频传播窃取信息的恶意软件
最近出现了一种视频以AI生成的角色为主角的趋势,出现在多种语言和平台(Twitter、Youtube和Instagram)上,提供招聘细节、教育培训、宣传材料等。
消息来源:
https://www.4hou.com/posts/mXLO
04
泄露用户信息长达一年半,
丰田被服务商坑惨了
全球知名汽车制造公司丰田(TOYOTA)遭遇了严重的用户信息泄露事件。安全研究人员发现,黑客通过攻击丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud,从而获得了海量的用户数据,且至今为止数据泄露已有一年半之久。
消息来源:
https://www.freebuf.com/news/361832.html
05
国家网信办:防止泄露
未成年人隐私的欺凌视频扩散
3月28日,国务院新闻办公室举行新闻发布会,国家互联网信息办公室有关负责人介绍2023年“清朗”系列专项行动的相关情况。其中提到,“清朗·2023年暑期未成年人网络环境整治”专项行动,聚焦网上涉未成年人突出问题,拉紧违规内容整治高压线,严厉整治各类有害内容和违法犯罪,及时发现处置网络欺凌行为,防止泄露未成年人隐私的欺凌视频扩散传播。
消息来源:
https://www.chinanews.com.cn/cj/2023/03-28/9979882.shtml
06
微软正式将GPT-4引入安全,
行业颠覆似乎来了
北京时间3月28日23:30,微软安全开启全球直播,重磅推出Microsoft Security Copilot——正式宣布将GPT-4引入网络安全。据微软称,Security Copilot将不断学习和改进,提供对最先进的OpenAI模型的持续访问,以支持要求苛刻的安全任务和应用程序。
消息来源:
https://www.freebuf.com/news/361895.html
07
微软推出事件响应保留器
微软推出了微软事件响应保留器,允许客户在网络安全危机之前、期间和之后预付并依靠微软事件响应者的帮助。
消息来源:
https://www.helpnetsecurity.com/2023/03/29/microsoft-incident-response-retainer/
08
微信、QQ“崩了”
3 月 29 日凌晨,大量网友在社交媒体吐槽微信和 QQ 不能登录,一时间,#微信 QQ 出现功能异常#,#你的微信 QQ 出问题了吗#”等话题冲上微博热搜。
从网友透漏的信息来看,微信包括语音呼叫、账号登录、朋友圈,微信支付等在内的多个功能无法正常使用,QQ 受影响的功能涉及到文件传输、QQ 空间、QQ 邮箱。
消息来源:
https://www.freebuf.com/news/361909.html
# 漏洞情报 #
01
CVE-2023-27326丨
Parallels Desktop VM Escape
该漏洞来自Toolgate组件。由于在文件操作中使用用户提供的路径之前没有对其进行适当的验证。攻击者可以利用此漏洞升级特权,并在主机系统上当前用户的上下文中执行任意代码。
消息来源:
02
Windows CVE-2023-21768
本地提权poc
CVE-2023-21768 用户权限提升漏洞漏洞等级:高危,漏洞评分:7.0。该漏洞是一个权限提升漏洞。经过身份认证的本地攻击者可通过在目标系统上运行特制程序利用此漏洞来获得 SYSTEM 权限。此漏洞仅影响 Windows 11 和 Windows Server 2022。
消息来源:
03
CVE-2023-21716 RCE漏洞(附EXP)
Microsoft Word是Microsoft Office附带的文字处理应用程序。在默认安装中,Microsoft Word处理富文本格式(RTF)文档。这些文档主要由基于7位ASCII的关键字组成,这些关键字一起可以封装各种丰富的内容。
消息来源:
04
Sudo权限提升漏洞分析
(CVE-2023-22809)
sudo (su "do" )允许系统管理员将权限委托给某些用户(或用户组),能够以root用户或其他用户身份运行部分(或全部)命令。Synacktiv在Sudo版本1.9.12p1中使用sudoedit时发现了sudoers策略绕过。这漏洞可能通过编辑未经授权的文件导致权限升级。
消息来源:
05
MLFlow 任意文件读取漏洞
(CVE-2023-1177)
使用 MLflow 模型注册表托管 MLflow 开源项目的用户 mlflow server或者 mlflow ui使用早于 MLflow 2.2.1 的 MLflow 版本的命令如果不限制谁可以查询其服务器(例如,通过使用云 VPC、入站请求的 IP 白名单或身份验证 /授权中间件)。
此问题仅影响运行 mlflow server和 mlflow ui命令。不使用的集成 mlflow server或者 mlflow ui不受影响;例如,Azure Machine Learning 上的 Databricks Managed MLflow 产品和 MLflow 不使用这些命令,并且不会以任何方式受到这些漏洞的影响。
建议您更新当前系统或软件至最新版,完成漏洞的修复。
消息来源:
06
3CXDesktop App 代码执行
漏洞安全风险通告
近日,奇安信CERT监测到3CXDesktop App代码执行漏洞(CVE-2023-29059),3CXDesktop App 部分版本在构建安装程序时,内嵌了攻击者特制的恶意代码,在程序安装时会执行恶意代码,并进一步下载恶意负载到目标环境中执行。鉴于该产品用量较多,建议客户尽快做好自查及防护。
消息来源:
END
一周网安咨询由雷石安全实验室汇总整理
信息来源:
freebuf、安全客、安全内参、中国信息安全、
cnbeta、seebug,hacknews
如有侵权请联系:admin#unsafe.sh