鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静简讯

微软修复Azure中可会见其他客户数据的误差AutoWarp

宣布时间 2022-03-10

微软修复Azure中可会见其他客户数据的误差AutoWarp

据媒体3月7日报道，，，，Microsoft已修复其Azure自动化效劳中的误差AutoWarp。。。。Azure可提供流程自动化、设置治理和更新治理功效，，，，每个妄想作业在Azure客户的沙箱内运行。。。。使用该误差，，，，攻击者可以从治理其他用户沙箱的内部效劳器窃取Azure客户的托管身份验证令牌，，，，来完全控制其帐户。。。。12月10日，，，，微软通过阻止对所有沙箱的认证令牌会见(除了具有正当会见权的沙箱）修复了此误差。。。。

https://thehackernews.com/2022/03/microsoft-azure-autowarp-bug-could-have.html

惠普修复影响其数百万台装备的16个UEFI固件误差

Binarly在3月8日果真了在惠普企业装备中发明的16个新误差。。。。这些误差保存于统一可扩展固件接口(UEFI)固件中，，，，可被用来获取更高权限并在装备上装置恶意软件，，，，绕过清静软件的检测。。。。其中较为严重的是提权误差（CVE-2021-23932）、导致恣意代码执行的堆缓冲区溢出误差（CVE-2021-23924）和导致恣意代码执行的内存损坏误差（CVE-2021-23928）。。。。现在，，，，惠普已修复这些误差。。。。

https://thehackernews.com/2022/03/new-16-high-severity-uefi-firmware.html

FBI称Ragnar Locker已入侵美国52个要害基础设施的机构

3月7日，，，，美国FBI与网络清静和基础设施清静局联合宣布了一份TLP:WHITE通告。。。。该机构指出，，，，阻止2022年1月，，，，已有10个要害基础设施领域的至少52个机构遭到了RagnarLocker勒索软件的攻击，，，，涉及制造、能源、金融效劳、政府和信息手艺等行业。。。。通告着重于提供用来检测和阻止Ragnar Locker攻击的入侵指标(IOC)，，，，还果真了防御此类攻击的缓解步伐。。。。FBI鞭策被攻击的组织连忙上报此类事务，，，，不勉励支付赎金。。。。

https://www.documentcloud.org/documents/21397387-ragnarlocker-ransomware-indicators-of-compromise

加拿大PressReader称正在恢复因网络攻击中止的运营

媒体3月7日报道，，，，加拿大PressReader称其正在起劲恢复因网络攻击中止的运营。。。。PressReader是全球最大的数字报纸和杂志分销商，，，，自上周四最先泛起网络中止，，，，其Branded Editions网站、应用程序和PressReader网站受到影响。。。。周五晚上，，，，该公司确认此次中止是一起网络清静事务。。。。PressReader在3月6日宣布用户更新，，，，称其团队正在起劲恢复运营，，，，现已能够处置惩罚和宣布目今的报纸和杂志。。。。

https://www.infosecurity-magazine.com/news/pressreader-suffers-cyber-attack/

罗马尼亚的加油站Rompetrol遭到来自Hive的勒索攻击

3月7日，，，，罗马尼亚的石油供应商Rompetrol称其遭到网络攻击，，，，公司官网和加油站的Fill&Go效劳被迫关闭。。。。Rompetrol是KMG International的子公司，，，，也是罗马尼亚最大的炼油厂Petromidia Navodari的运营商，，，，该炼油厂的年加工能力凌驾500万吨。。。。据悉，，，，此次攻击的幕后黑手是Hive，，，，该团伙提出了200万美元的赎金要求。。。。Hive现在非�；；；；；；钤竞图そ�，，，自2021年6月下旬曝光以来，，，，平均天天攻击3家公司。。。。

https://www.bleepingcomputer.com/news/security/rompetrol-gas-station-network-hit-by-hive-ransomware/

研究团队披露Axeda中统称为Access:7的一组误差的详情

据3月8日报道，，，，Forescout研究团队发明了PTC Axeda中的7个误差Access:7。。。。Axeda可通过外地安排的署理，，，，提供来自网络上物联网装备的遥测数据和远程效劳，，，，主要用于医疗保健行业。。。。此次披露的最严重的是3个代码执行误差CVE-2022-25251、CVE-2022-25246和CVE-2022-25247，，，，CVSS评分划分为9.4、9.8和9.8。。。。Forescout诠释说，，，，就医疗装备而言，，，，纵然是不太严重的误差也会爆发重大影响。。。。现在，，，，Axeda已修复了所有的Access:7误差。。。。

https://www.bleepingcomputer.com/news/security/access-7-vulnerabilities-impact-medical-and-iot-devices/

清静工具

GO/NET Scanner

带有 Arp 发明和自己的剖析器的 Golang 网络扫描程序。。。。

https://github.com/luijait/GONET-Scanner

GraphQL Cop

是一个小型 Python 适用程序，，，，用于针对GraphQL API 运行常见的清静测试。。。。

https://github.com/dolevf/graphql-cop

FastFuzz Chrome Extension

带有 chrome 扩展的快速fuzzing网站。。。。

https://github.com/tismayil/fastfuz-chrome-ext

s3sec

用来测试 AWS S3 存储桶的读/写/删除会见。。。。

https://github.com/0xmoot/s3sec

zkar

是一个用 Go 实现的 Java序列化协议剖析工具，，，，仍在开发中。。。。

https://github.com/phith0n/zkar

清静剖析

Coinbase 阻止了凌驾 25,000 个与俄罗斯相关的加密地点

https://www.bleepingcomputer.com/news/security/coinbase-blocks-over-25-000-russian-linked-crypto-addresses/

FBI：政府官员在大宗勒索活动中被冒充

https://www.bleepingcomputer.com/news/security/fbi-govt-officials-impersonated-in-widespread-extortion-schemes/

俄罗斯放宽盗版软件允许规则

https://www.bleepingcomputer.com/news/government/piracy-ok-russia-to-ease-software-licensing-rules-after-sanctions/

相识黑客怎样侦探

https://thehackernews.com/2022/03/understanding-how-hackers-recon.html

怎样通过 Alexa 的语音入侵 Alexa

https://www.schneier.com/blog/archives/2022/03/hacking-alexa-through-alexas-speech.html

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】