报告编号：CERT-R-2023-62

报告来源：360CERT

报告作者：360CERT

更新日期：2023-03-27

0x01   事件导览

本周收录安全热点56项，话题集中在安全漏洞、恶意程序、网络攻击，主要涉及的黑客组织有：SideCopy、Bad magic、Kimsuky等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Emotet恶意软件以伪造的W-9纳税申报表的形式从美国国税局分发

日期: 2023-03-26
标签: 信息技术, Microsoft, Internal Revenue Service, Emotet

一项新的 Emotet 网络钓鱼活动通过冒充据称由美国国税局和与您合作的公司发送的 W-9 税表，以美国纳税人为目标。Emotet 是一种恶意软件感染，通过网络钓鱼电子邮件传播，这些电子邮件过去包含带有安装恶意软件的恶意宏的 Microsoft Word 和 Excel 文档。然而，在微软开始默认阻止下载的 Office 文档中的宏后，Emotet 转而使用带有嵌入式脚本的 Microsoft OneNote 文件来安装 Emotet 恶意软件。安装 Emotet 后，该恶意软件将窃取受害者的电子邮件以用于未来的 回复链攻击，发送更多垃圾邮件，并最终安装其他恶意软件，为勒索软件团伙等其他威胁行为者提供初始访问权限。

详情

Vice Society 声称袭击了波多黎各渡槽和下水道管理局

日期: 2023-03-26
标签: 能源业, 信息技术, 网络犯罪, United States Environmental Protection Agency, Vice Society

2023年3月26日，波多黎各渡槽和下水道管理局 (PRASA) 正在调查上周袭击该机构的网络攻击。该机构在袭击发生后迅速启动了事件响应程序。该攻击于 3 月 19 日披露，威胁行为者可以访问客户和员工信息。该机构将通过违规通知函通知受影响的客户和员工。该机构指出，该机构在波多黎各管理的关键基础设施的运营没有受到影响。目前，该机构尚未透露攻击背后的组织名称，但 Vice Society 勒索软件团伙已将权限添加到其 Tor 泄漏站点的受害者名单中。勒索软件团伙泄露了受影响个人的护照、驾照和其他文件。

详情

恶意程序 BlackGuard瞄准 57 个加密钱包和扩展

日期: 2023-03-23
标签: 金融业, 信息技术, 加密货币, 网络犯罪, AT&T, Ripple Labs, BlackGuard, Raccoon

BlackGuard 窃取程序的一个新变种已在野外被发现，具有新功能，如 USB 传播、持久性机制、在内存中加载额外的有效负载，以及针对额外的加密钱包。BlackGuard于 2022 年 3 月首次被 Zscaler 发现 ，报告称该恶意软件在俄语论坛上以 MaaS（恶意软件即服务）的形式以每月 200 美元或终生价格 700 美元的价格出售给网络犯罪分子。新的窃取器在最初的 Raccoon Stealer MaaS 操作关闭后不久出现，在提供广泛的应用程序定位功能的同时享有良好的采用率。这个新版本的 BlackGuard 窃取器是由 AT&T 的分析师发现的，他们警告说该恶意软件仍然非常活跃，其作者在保持订阅成本稳定的同时不断改进它。

详情

恶意 NuGet 程序包 与 .NET 开发人员有关

日期: 2023-03-21
标签: 信息技术, 恶意包, Microsoft, Coinbase, NuGet

.NET 软件开发人员的 NuGet 存储库中托管的一打软件包实际上是恶意特洛伊木马组件，它们会破坏安装系统并下载具有后门功能的窃取密码的恶意软件。软件供应链安全公司 JFrog 在 3 月 21 日发布的一份分析报告中表示，这 13 个软件包已被下载超过 166,000 次，并冒充了 Coinbase 和 Microsoft ASP.NET 等其他合法软件。当公司的研究人员注意到文件（init.ps1）在安装时执行然后下载可执行文件并运行时出现可疑活动时，JFrog 检测到了攻击。尽管 .NET 和 C# 编程语言在攻击者中鲜为人知，但恶意代码的发现突显出攻击者正在进一步扩展到软件供应链，以此来危害粗心的开发人员，安全研究主管 Shachar Menashe 表示。

详情

黑客使用新的 PowerMagic 和 CommonMagic 恶意软件窃取数据

日期: 2023-03-21
标签: 信息技术, 网络犯罪, Choziosi, IceBreaker, CommonMagic, PowerMagic

安全研究人员发现来自高级威胁参与者的攻击使用了名为 CommonMagic 的“以前未见过的恶意框架”和名为 PowerMagic 的新后门。这两种恶意软件至少从 2021 年 9 月开始就一直在持续至今的行动中使用，并以行政、农业和交通部门的组织为目标进行间谍活动。网络安全公司卡巴斯基的研究人员表示，黑客有兴趣从顿涅茨克、卢甘斯克和克里米亚的受害者那里收集数据。一旦进入受害网络，CommonMagic 间谍活动背后的攻击者就可以使用单独的插件从 USB 设备窃取文档和文件（DOC、DOCX、XLS、XLSX、RTF、ODT、ODS、ZIP、RAR、TXT、PDF）。研究人员认为，最初的感染媒介是鱼叉式网络钓鱼或类似的方法，用于传送指向带有恶意 LNK 文件的 ZIP 存档的 URL。

详情

自定义“Naplistener”恶意软件分析

日期: 2023-03-21
标签: 信息技术, Microsoft, NAPLISTENER, SiestaGraph

一个被 Elastic 安全实验室监测为 REF2924 的组织正在使用新型数据窃取恶意软件——一种用 C# 编写的 HTTP 侦听器，被研究人员称为 Naplistener——对在南亚和东南亚活动的受害者发起攻击。

根据Elastic 高级安全研究工程师 Remco Sprooten 的博客文章，基于网络的检测和预防技术是保护许多环境的实际方法。但 Naplistener 以及该组织使用的其他新型恶意软件似乎“旨在逃避基于网络的检测形式”，Elastic Security 的工程总监 Jake King 表示。Naplistener 是 Elastic 研究人员观察到 REF2924 在其攻击中使用的一系列新型自定义恶意软件中的最新一个，这些恶意软件特别注重逃避基于网络的检测。这些新的恶意软件家族的共同点不仅在于它们都基于开源技术，而且它们还使用熟悉的合法网络资产来掩盖它们的活动。

详情

0x04   数据安全

Dole遭受勒索软件攻击后员工数据泄露

日期: 2023-03-22
标签: 信息技术, 网络犯罪, Dole Food Company, American Stores

2023年3月22日，新鲜农产品巨头 Dole Food Company 已确认 2 月份勒索软件攻击背后的威胁行为者已经访问了未公开数量的员工的信息。都乐在全球拥有约 38,000 名员工，为超过 75 个国家/地区的客户提供新鲜水果和蔬菜。该公司在周三向美国证券交易委员会 (SEC) 提交的年度报告中透露，上个月的网络攻击直接影响了其员工的信息 。都乐 在 2 月 22 日披露了勒索软件攻击事件 ，并表示其对其运营的影响有限。在客户抱怨商店货架上都乐产品延迟和短缺一个多星期后，才披露了这次袭击事件。

详情

加州大学圣地亚哥分校卫生部遭遇数据泄露

日期: 2023-03-22
标签: 卫生行业, UC San Diego Health, RansomHouse

加州大学圣地亚哥健康中心通知未公开数量的患者，由于其供应商在未经 UCSD 健康中心授权的情况下在其面向患者的网站上放置了分析工具，因此他们的数据无意中与第三方共享。由于使用像素跟踪技术或营销分析工具，UCSD Health 加入了一长串供应商名单，向第三方报告未经授权的披露。但由于供应商的错误，它是第一个通知的供应商。据SC Media 报道，像素的使用通常旨在提供网站上用户交互的分析。这些数据被编译成报告，评估用户在某些页面上的停留时间和参与度，以及营销活动的有效性。此后的报告证实，这些跟踪工具经常与 Meta及其合作伙伴共享数据。更重要的是，许多使用这些工具的营销团队并没有意识到患者隐私的风险。

详情

0x05   网络攻击

朝鲜 APT 组织“Kimsuky”以专家为目标开展新的鱼叉式网络钓鱼活动

日期: 2023-03-22
标签: 政府部门

德国和韩国政府机构本周警告称，一个臭名昭著的朝鲜组织针对半岛专家开展了新的鱼叉式网络钓鱼活动。该活动通过两种攻击方法获得对受害者谷歌帐户的访问权限——通过 Google Play 上的恶意应用程序感染 Android 手机，以及使用恶意的 Chromium 网络浏览器扩展程序。高级持续威胁 (APT) 组织——其名称包括TA406和 Thallium——自 2012 年以来一直在运作，主要针对外交官、非政府组织、智库和朝鲜半岛相关问题的专家。德国宪法保护局和韩国国家情报院于2023年3月20日发布的这份咨询报告描述了一项针对熟悉的受害者的高度针对性的运动。

详情

DarkPink组织针对印度尼西亚外交部门和菲律宾军事部门的攻击活动

日期: 2023-03-21
标签: 政府部门, Dark Pink, APT舆情

安天CERT近期监测到多起APT组织DarkPink针对印度尼西亚外交部门及菲律宾军事部门的攻击活动。本次发现的攻击活动的初始样本均为打包的ISO文件，按照攻击流程可分为两类：一类是采用DLL侧加载的方式，释放包含恶意XML文件载荷并通过修改注册表实现持久化。恶意 DLL 还会创建计划任务定时注销登录用户，在登录Windows用户时，通过调用MSBuild.exe（Microsoft 生成引擎）启动恶意载荷KamiKakaBot，实现远程控制功能；另一类采用DLL侧加载攻击的方式进行初始攻击，恶意DLL解密出PE文件并在内存中加载执行，内存中的PE文件会将启动代码添加至注册表中实现持久化，启动代码用于解密并启动恶意载荷TelePowerBot，实现远程控制功能。

详情

在中东和非洲发现2400多个针对求职者的虚假页面

日期: 2023-03-21
标签: 信息技术

2023年3月21日，Group-IB安全研究人员发布研究报告表示，从 2022 年 1 月到 2023 年 1 月，在 13 个国家/地区发现了 2400 多个针对讲阿拉伯语的求职者的诈骗页面。其中，风险保护分析师 Sharef Hlal 和 Olga Ulchenko 表示，位于埃及 (48%)、沙特阿拉伯 (23%) 和阿尔及利亚 (17%) 的公司最容易被诈骗者冒充。“这个骗局针对的是来自中东和非洲地区 13 个国家的 40 多个知名品牌，”技术报告解释说，并补充说在这次活动中发现的 64% 的骗局页面冒充了物流行业的公司，其次是食品和饮料行业 (20%) 和石油行业 (12%)。恶意活动依赖于最初的网络钓鱼尝试，该尝试会导致受害者访问包含关于虚假职位空缺的类似描述的诈骗网页。

详情

法拉利披露数据泄露事件

日期: 2023-03-20
标签: 制造业

法拉利在攻击者获得对公司部分 IT 系统的访问权限后收到赎金要求后披露了数据泄露事件。法拉利在发给客户的违规通知信中说：“我们很遗憾地通知您法拉利发生了一起网络事件，威胁行为者能够访问我们 IT 环境中的有限数量的系统。”这家意大利豪华跑车制造商表示，事件中暴露的客户信息包括姓名、地址、电子邮件地址和电话号码。到目前为止，法拉利尚未找到付款细节、银行帐号或其他敏感付款信息被访问或窃取的证据。“Ferrari NV 宣布，其全资意大利子公司 Ferrari SpA 最近与一名威胁行为者联系，要求提供与某些客户联系方式相关的赎金，”该公司在一份声明中 表示。

详情

General Bytes 比特币 ATM 机被零日漏洞攻击，150 万美元被盗

日期: 2023-03-20
标签: 金融业

2023年3月中旬，比特币 ATM 制造商 General Bytes 透露，黑客利用其 BATM 管理平台中的零日漏洞从该公司及其客户那里窃取了加密货币。

General Bytes 生产的比特币 ATM 允许人们买卖 40 多种加密货币。客户可以使用独立的管理服务器或 General Bytes 云服务来部署他们的 ATM。上周末，该公司披露称，黑客利用一个被追踪为 BATM-4780 的零日漏洞，通过 ATM 的主服务接口远程上传 Java 应用程序，并以“batm”用户权限运行。“攻击者扫描了 Digital Ocean 云托管 IP 地址空间，并确定在端口 7741 上运行 CAS 服务，包括 General Bytes Cloud 服务和其他在 Digital Ocean（我们推荐的云托管提供商）上运行服务器的 GB ATM 运营商，”General Bytes 表示。该公司在 Twitter 上敦促客户“立即采取行动”并安装最新更新，以保护他们的服务器和资金免受攻击者的侵害。

详情

黑客利用 RCE in Progress Telerik 入侵美国机构服务器

日期: 2023-03-20
标签: 信息技术, 政府部门, Telerik, Microsoft

据美国网络安全和基础设施局报道，多个网络威胁参与者利用了 2019 年首次记录的漏洞，该漏洞允许远程代码执行 (RCE) 在大约三个月的时间内访问联邦机构的网络服务器。在3 月 15 日的网络安全公告中，CISA 表示威胁行为者——包括未具名的高级持续威胁行为者 (APT) 以及总部位于越南的网络犯罪集团 XE Group——利用了 Progress Telerik 漏洞 (CVE- 2019-18935 )访问联邦行政分支机构的 Microsoft Internet Information Services Web 服务器。 该公告没有指明是哪个机构的网络服务器遭到破坏，但表示该活动从 11 月开始，一直持续到 1 月初。威胁行为者成功利用的严重漏洞评级为 9.8，于 2019 年 12 月首次在 NIST 的国家漏洞数据库中发布，并于 3 月 15 日更新。CISA 详细说明了危害指标 (IOC)，以及缓解措施和其他信息带有警报代码 AA23-074A的单独咨询。

详情

0x06   安全漏洞

WooCommerce 针对支付插件中的严重漏洞发布补丁

日期: 2023-03-26
标签: 信息技术, 金融业

WooCommerce 是流行的电子商务支付平台的制造商，拥有超过220,000 个实时网站，它报告说在一个插件中发现了一个漏洞，该漏洞可能允许未经授权的管理员访问。在 3 月 23 日的客户咨询中，WooCommerce 表示，一旦得知 WooCommerce Payments 中的漏洞，它会立即停用受影响的服务，并缓解 WordPress.com、Pressable 和 WPVIP 上托管的所有网站的问题。该漏洞由GoldNetwork 的Michael Mazzolini报告，他正在通过 WooCommerce 的 HackerOne 程序进行白帽测试。虽然 CVE 未决，但它被评为严重漏洞，CVSS 评分为 9.8。另一方面，一旦得知该漏洞，WordFence 就开发了概念验证 (POC)，并开始编写和测试 3 月 23 日发布的防火墙规则。在博客文章中，WordFence 表示，无论 Wordfence 的版本如何，公司使用，他们建议更新到最新版本的 WooCommerce 支付插件，即 5.6.2。

详情

ChatGPT漏洞暴露敏感用户数据

日期: 2023-03-26
标签: 信息技术, 人工智能

OpenAI 的 ChatGPT 是一种人工智能 (AI) 语言模型，可以生成类似于人类语音的文本，但存在安全漏洞。该漏洞使该模型无意中暴露了私人用户信息，从而危及多个用户的隐私。此事件提醒人们网络安全的价值以及企业主动保护客户数据的必要性。根据 Tech Monitor 的一份报告，ChatGPT 错误“允许研究人员从用户那里提取个人数据，包括电子邮件地址和电话号码，以及揭示模型的训练数据。” 这意味着不仅暴露了用户的个人信息，还暴露了用于训练 AI 模型的敏感数据。因此，该事件引发了人们对泄露信息可能被滥用的担忧。ChatGPT 漏洞不仅会影响个人用户，还会对依赖人工智能技术的组织产生更广泛的影响。正如《印度时报》在一份报告中指出的那样，“这一漏洞不仅暴露了 OpenAI 缺乏安全协议，而且还引发了人工智能系统对企业和消费者的安全性问题。”此外，该事件凸显了遵守通用数据保护条例 (GDPR) 等法规的重要性，该法规旨在保护欧盟的个人数据。ChatGPT 漏洞违反了 GDPR 规定，未经适当同意就暴露了个人数据。OpenAI 已迅速采取行动解决该问题，并表示他们已修复该错误并采取措施防止未来发生类似事件。然而，该事件是对企业和个人的警告，要优先考虑网络安全措施并注意人工智能系统中的潜在漏洞。

详情

WordPress强制修补WooCommerce插件漏洞

日期: 2023-03-23
标签: 信息技术

2023年3月23日，WordPress 内容管理系统背后的公司 Automattic 强制在数十万个运行广受欢迎的在线商店 WooCommerce 支付的网站上安装安全更新。该补丁解决了一个严重漏洞，该漏洞可让未经身份验证的攻击者获得对易受攻击商店的管理员访问权限。此漏洞由 GoldNetwork 的 Michael Mazzolini 报告，它会影响 WooCommerce Payments 4.8.0 及更高版本。WordFence表示， 未经身份验证的攻击者可以利用该漏洞“冒充管理员并完全接管网站，而无需任何用户交互或社会工程”，而 Patchstack 警告说，由于“此漏洞不需要身份验证，因此很可能会被大规模-很快就被剥削了。”WooCommerce 团队在2023年3月23日早些时候发布的安全更新中对其进行了修补 ，并表示尚未发现任何证据表明该严重错误正在被攻击或在野外被利用。

详情

微软修复 Windows 11 截图工具中的 Acropalypse 隐私漏洞

日期: 2023-03-22
标签: 信息技术

微软正在测试 Windows 11 截图工具的更新版本，该工具修复了最近披露的“Acropalypse”隐私漏洞，该漏洞允许部分恢复裁剪图像。正如 Windows 发烧友Xeno最先发现的那样，微软于2023年3月22日通过 Microsoft Store 的 Canary 频道向 Windows Insiders 发布了 Windows 11 Snipping Tool 版本 11.2302.20.0。通过此版本，微软修复了在 Windows 11 上保存对原始文件的更改时不会删除裁剪图像数据的错误。但是，该错误仍然存在于 Windows 10 中。

详情

Veeam 漏洞的PoC 允许明文凭据盗窃

日期: 2023-03-23
标签: 信息技术

跨平台漏洞利用代码现在可用于影响 Veeam 的备份和复制 (VBR) 软件的高严重性备份服务漏洞。

该缺陷 (CVE-2023-27532) 影响所有 VBR 版本，未经身份验证的攻击者可以利用该缺陷在窃取明文凭据并以 SYSTEM 身份获得远程代码执行后破坏备份基础设施。Veeam 于 3 月 7 日发布了安全更新以解决 VBR V11 和 V12 的此漏洞，建议使用旧版本的客户升级到运行不受支持版本的安全易受攻击设备。该公司还为无法立即部署补丁的管理员共享了一个临时修复程序，这需要使用备份服务器防火墙阻止与端口 TCP 9401 的外部连接以删除攻击向量。Veeam表示其 VBR 软件被全球超过 450,000 家客户使用，其中包括 82% 的财富 500 强公司和 72% 的全球 2,000 强公司。2023年3月23日，就在 Veeam 发布 CVE-2023-27532 补丁两周后，Horizon3 的攻击团队发布了针对此高危漏洞的技术根本原因分析。他们还发布了跨平台概念验证 (PoC) 利用代码，允许通过滥用不安全的 API 端点从 VBR 配置数据库中以明文形式获取凭据。

详情

Windows 11、特斯拉、Ubuntu和macOS在Pwn2Own 2023遭到黑客攻击

日期: 2023-03-22
标签: 制造业, Microsoft, Oracle, Apple, Tesla

在 Pwn2Own Vancouver 2023 的第一天，安全研究人员成功演示了 Tesla Model 3、Windows 11 和 macOS 零日漏洞利用和漏洞利用链，赢得了 375,000 美元和一辆 Tesla Model 3。在 Haboob SA 的 Abdul Aziz Hariri ( @abdhariri ) 使用一个针对 6 个错误逻辑链的漏洞利用链后，第一个下降的是企业应用程序类别中的Adobe Reader，该漏洞滥用了多个失败的补丁，这些补丁逃过了沙箱并绕过了 macOS 上的禁止 API 列表，赚 50,000 美元。STAR Labs 团队 ( @starlabs_sg ) 演示了一个针对 Microsoft 的 SharePoint 团队协作平台的零日漏洞利用链，为他们带来了 100,000 美元的奖励，并以 15,000 美元的价格成功入侵了 Ubuntu Desktop。在 Pwn2Own 期间演示和披露零日漏洞后，供应商有 90 天的时间为所有报告的缺陷创建和发布安全修复程序，然后趋势科技的零日计划公开披露它们。

详情

攻击者正在探测边缘基础设施产品中的零日漏洞

日期: 2023-03-22
标签: 信息技术, Apple, Mitel, Google, Microsoft, Cisco, Lorenz, Magniber, APT37

对 2022 年零日攻击相关数据的分析表明，威胁行为者越来越多地探索边缘基础设施技术（包括 VPN、防火墙和 IT 管理产品）中的安全漏洞。Mandiant 的研究人员共跟踪了去年攻击者在各种恶意活动中利用的 55 个零日漏洞，发现其中 10 个涉及面向互联网的边缘设备。其中包括Sophos防火墙中的CVE-2022-1040和CVE-2022-3236，Cisco IOS中的CVE-2022-20821，Fortinet的FortiOS中的CVE-2022-42474和CVE-2022-41226，Zoho ManageEngine中的CVE-2022-288810 ，以及 SolarWinds Serv-u 中的 CVE-2022-35247。Google Cloud Mandiant 高级分析师 Casey Charrier 表示，对手之所以关注边缘技术，可能是因为他们认为企业组织在端点检测和响应 (EDR) 方面的能力低于网络监控能力。

详情

Windows 10 KB5023773预览更新发布，包含10个修复程序

日期: 2023-03-21
标签: 信息技术, Microsoft

2023年3月21日，微软发布了适用于 Windows 10 20H2、Windows 10 21H2 和 Windows 10 22H2 的可选 KB5023773 Preview 累积更新，针对各种问题修复了十个问题。此版本主要是一个维护版本，修复了 USB 打印机驱动程序、FIDO2 的错误以及导致进程挂起、崩溃或变得无响应的其他问题。KB5023773 累积更新预览版是 Microsoft 2023 年 3 月每月“C”更新的一部分，允许管理员测试 2023 年 4 月补丁星期二发布的即将发布的修复程序。

详情

Windows 11 截图工具隐私漏洞暴露裁剪图像内容

日期: 2023-03-21
标签: 信息技术, Microsoft, Google

2023年3月中旬，安全研究人员 David Buchanan 和 Simon Aarons 发现 Google Pixel 标记工具中的一个错误 导致原始图像数据即使被编辑或裁剪也能保留下来。此漏洞会引起严重的隐私问题，因为如果用户共享图片（例如带有编辑号码的信用卡或面部被移除的照片），则可能会部分恢复原始照片。2023年3月21日，软件工程师 Chris Blume 证实，“acropalypse”隐私漏洞也影响了 Windows 11 截图工具。在 Windows 11 截图工具中打开文件并覆盖现有文件时，它不会截断任何未使用的数据，而是留下未使用的数据，从而可以部分恢复这些数据。

详情

黑客从 General Bytes 比特币 ATM 机上窃取超过 160 万美元的加密货币

日期: 2023-03-22
标签: 信息技术, 加密货币

2023年3月19日，身份不明的黑客从 General Bytes 拥有的比特币 ATM 机上窃取了超过 160 万美元的加密货币。威胁参与者能够通过终端上传视频所使用的主服务接口远程上传“他自己的 Java 应用程序，并使用 batm 运行它来利用零日漏洞用户权限。一旦攻击者能够做到这一点，他们就会获得对数据库的访问权限，在那里他们能够“读取和解密用于访问热钱包和交易所资金的 API 密钥，从热钱包发送资金，以及下载用户名、密码哈希值”以及关闭双因素身份验证 (2FA) 功能。 尽管General Bytes公司表示自 2021 年以来已经进行了多次安全审计，但这是一个从未被发现的漏洞。General Bytes 建议其终端运营商客户将他们的服务器置于防火墙和 VPN 之后，并假定终端用户使用的交易所和热钱包的密码和 API 密钥已被泄露——并应相应更改。

详情

Mozilla Firefox 111.0.1 修复了 Windows 11 和 macOS 崩溃问题

日期: 2023-03-21
标签: 信息技术, Microsoft

2023年3月21日，Mozilla 解决了导致 Firefox 在 macOS 上崩溃以及在 Windows 11 系统上启动时冻结并显示无响应空白窗口的问题。据最先报告 Windows 冻结问题的用户称，该错误可能会影响运行 Windows 11 的 Firefox 用户，这些用户还安装了本月的 KB5023706 累积更新。“当 Firefox 启动时，它只是一个空白窗口（不是空白网页），只有 Windows 最小值、最大值和 [和] 关闭按钮。如果我关闭窗口，它会说它没有响应并向 Microsoft 发送错误报告，” 三天前提交的错误报告中写道 。在 Firefox 进程崩溃后发送给微软的崩溃报告称，网络浏览器“停止响应并关闭”，因为“问题导致该程序停止与 Windows 交互”。报告该问题的用户补充说，在卸载 KB5023706 Windows 更新后，Firefox 再次按预期启动。Mozilla 现在已经修复了引发冻结问题的浏览器启动挂起问题，Firefox 111.0.1 是周二发布的最新版本。

详情

未修补的三星芯片集漏洞使安卓用户面临RCE攻击

日期: 2023-03-20
标签: 信息技术, 移动安全, Samsung, Google, Vivo

三星芯片组中最近披露的一组漏洞使数百万 Android 手机用户面临潜在的远程代码执行 (RCE) 攻击，直到他们各自的设备供应商为这些漏洞提供补丁程序。据发现这些漏洞的谷歌零项目研究人员称，在此之前，对于想要抵御威胁的用户来说，最好的办法是关闭他们设备上的 Wi-Fi 通话和 LTE 语音设置。在2023年3月中旬发布的一篇博客文章中，研究人员表示，他们已向三星报告了该公司 Exynos 芯片组中多达 18 个漏洞，这些芯片组用于三星、Vivo 和谷歌的多种手机型号。受影响的设备包括三星 Galaxy S22、M33、M13、M12、A71 和 A53，Vivo S16、S15、S6、X70、X60 和 X30，以及谷歌的 Pixel 6 和 Pixel 7 系列设备。

详情

Windows 11错误警告本地安全机构保护关闭

日期: 2023-03-20
标签: 信息技术, Microsoft

2023年3月20日，Windows 11 用户报告看到广泛的 Windows 安全警告，即本地安全机构 (LSA) 保护已被禁用，即使它显示为已打开。LSA 保护是一项重要的安全功能，可通过阻止进程内存转储和将不受信任的代码注入 LSA 进程来防止敏感信息（例如登录凭据）被盗。它确保只有授权实体才能访问用户身份验证和系统安全所需的关键信息。虽然 Windows 用户 报告 此问题 是 由最近发布的 KB5023706 Windows 11 22H2 累积更新引起的，但这种情况至少从 1 月 15 日就 开始了 。“本地安全机构保护已关闭。您的设备可能容易受到攻击。” 即使在 Windows 安全 > 设备安全 > 核心隔离详细信息中启用了 LSA 保护，也会显示警告。“此功能存在技术故障，如果您已成功打开此功能并且系统提示您重新启动，请注意该功能已开启，无论消息如何，因为这是我们知道的技术故障，我们正在努力尽快解决该问题，”据报道，微软技术支持代表告诉一位受影响的用户。

详情

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x08   时间线

2023-03-20 360CERT发布安全周报