CQ9电子平台明朝万达2023年网络安全月报（8月）近日，明朝万达安元实验室发布了2023年第八期《安全通告》。该份报告收录了2023 年8月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

　　Smoke Loader僵尸网络背后的网络犯罪分子正在使用一种名为Whiffy Recon的新恶意软件，通过WiFi扫描和Google地理定位API来三角定位受感染设备的位置。

　　根据该区域WiFi接入点的数量，通过Google地理定位API进行的三角测量精度范围在20-50米（65-165 英尺）或更小，但在人口密度较低的区域，该数字会增加。

　　数千台Openfire服务器仍然容易受到CVE-2023-32315的攻击，这是一个被积极利用的路径遍历漏洞，允许未经身份验证的用户创建新的管理员帐户。

　　贝恩斯表示，有一种方法可以利用该缺陷并上传插件，而无需创建管理员帐户，从而对网络犯罪分子来说更加有吸引力。

　　安全研究人员发布了NoFilter，这是一个滥用Windows过滤平台来提升用户权限的工具，将用户的权限增加到SYSTEM权限CQ9电子平台网站，这是Windows上的最高权限级别。

　　该实用程序在后利用场景中非常有用，在这种场景中，攻击者需要以更高的权限执行恶意代码，或者在其他用户已经登录到受感染设备时在受害者网络上横向移动。

　　美国联邦调查局警告说，针对关键的梭子鱼电子邮件安全网关（ESG）远程命令注入漏洞的补丁“无效”，并且已修补的设备仍在持续的攻击中受到损害。

　　该漏洞编号为CVE-2023-2868，于2022年10月首次被利用，为ESG设备设置后门并从受感染的系统中窃取数据。

　　丹麦托管公司CloudNordic和AzeroCloud遭受勒索软件攻击，导致大部分客户数据丢失，并迫使托管提供商关闭所有系统，包括网站、电子邮件和客户站点。

　　此外，该公司的声明澄清，它不会向威胁行为者支付赎金，并已与安全专家接洽并向警方报告了这一事件。

　　越来越多的证据表明Akira勒索软件将Cisco VPN（虚拟专用网络）产品作为攻击媒介，以破坏企业网络、窃取并最终加密数据。

　　Akira勒索软件是一种相对较新的勒索软件操作 ，于2023年3月推出，该组织后来添加了一个Linux加密器来针对VMware ESXi虚拟机。

　　Google搜索结果中看似合法的亚马逊广告将访问者重定向到Microsoft Defender技术支持骗局，从而锁定了他们的浏览器。

　　但是，点击Google广告会将用户重定向到技术支持骗局，该骗局冒充Microsoft Defender发出的警报并进入全屏模式，表明您感染了ads(exe).finacetrack(2).dll恶意软件，并使得在不终止Google Chrome进程的情况下很难退出该页面。

　　BlackCat/ALPHV勒索软件团伙已将Seiko添加到其勒索网站，声称对这家日本公司本月早些时候披露的网络攻击负责。

　　并嘲笑了Seiko的IT安全性，以及泄露了看似生产计划、员工护照扫描、新型号发布计划和专门实验室测试结果的内容。最令人担忧的是，该团伙泄露了他们声称的机密技术原理图和精工手表设计的样本 。

　　黑莓的威胁研究和情报团队于2023年6月上旬发现了最新的活动，报告称古巴现在利用 CVE-2023-27532 从配置文件中窃取凭据。该特定缺陷影响Veeam Backup&Replication(VBR)产品。

　　网络钓鱼活动主要针对美国一家著名能源公司，利用二维码将恶意电子邮件放入收件箱并绕过安全措施。

　　这些电子邮件带有二维码的PNG或PDF附件，系统会提示收件人扫描以验证其帐户。电子邮件还指出，目标必须在2-3天内完成此步骤，以增加紧迫感。

　　研究人员发现了一项大规模活动，该活动向至少400,000个Windows系统提供了代理服务器应用程序。这些设备在未经用户同意的情况下充当住宅出口节点。

　　科罗拉多州医疗保健政策和融资部 (HCPF) 向超过400万人发出警报，称数据泄露影响了他们的个人和健康信息。

　　科罗拉多州HCPF是一个州政府机构，负责管理科罗拉多州健康第一(Medicaid)和儿童健康计划Plus计划，并为低收入家庭、老年人和残疾公民提供支持。

　　来自加州大学欧文分校和清华大学的研究人员团队开发了一种名为“MaginotDNS”的新型强大缓存中毒攻击，该攻击针对条件DNS(CDNS)解析器，可以危害整个TLD域。

　　由于不同DNS软件和服务器模式（递归解析器和转发器）实施安全检查的不一致，导致大约三分之一的CDNS服务器容易受到攻击。

　　福特警告称，许多福特和林肯汽车所使用的SYNC3信息娱乐系统存在缓冲区溢出漏洞，该漏洞可能允许远程执行代码，但表示车辆驾驶安全不会受到影响。

　　SYNC3是一款现代信息娱乐系统，支持车载WiFi热点、电话连接、语音命令、第三方应用程序等。

　　全球工业环境中使用的数百万个PLC（可编程逻辑）面临CODESYS V3软件开发套件中15个漏洞的风险，这些漏洞允许远程代码执行(RCE)和拒绝服务(DoS)攻击。

　　超过500家设备制造商使用CODESYS V3 SDK根据IEC 61131-3标准对1,000多种PLC型号进行编程，从而允许用户开发自定义自动化序列。

　　该漏洞编号为CVE-2023-39250，是由所有安装共享的静态AES加密密钥引起的，该密钥用于加密程序配置文件中存储的vCenter凭据。

　　EvilProxy成为针对受MFA保护的帐户的更流行的网络钓鱼平台之一，研究人员发现有120,000封网络钓鱼电子邮件发送到一百多个组织，以窃取Microsoft 365帐户。

　　EvilProxy是一个网络钓鱼即服务平台，它使用反向代理在用户（目标）和合法服务网站之间中继身份验证请求和用户凭据。

　　2023年8月8日，微软发布了8月安全更新，本次更新共修复了87个漏洞，其中包括2个已被利用的漏洞、23个远程代码执行漏洞以及6个评级为严重的漏洞。

　　CVE-2023-36895：Microsoft Outlook远程代码执行漏洞，此漏洞的CVSSv3评分为7.8，威胁者可通过诱导受害者下载并打开特制文件（需要用户交互），从而导致对受害者计算机执行本地攻击，成功利用该漏洞可能导致任意代码执行。

　　CVE-2023-29328/ CVE-2023-29330：Microsoft Teams远程代码执行漏洞，此漏洞的CVSSv3评分均为8.8，影响了Microsoft Teams 桌面版、Android 版、 iOS版和Mac 版。威胁者可以通过诱骗受害者加入其设置的恶意Teams 会议，导致在受害者用户的上下文中远程执行代码，从而能够访问或修改受害者的信息，或可能导致客户端计算机停机，利用该漏洞无需特权。

　　CVE-2023-35385/CVE-2023-36911/CVE-2023-36910：Microsoft消息队列远程代码执行漏洞，此漏洞的CVSSv3评分为9.8，可以通过发送恶意制作的MSMQ 数据包到MSMQ 服务器来利用漏洞，成功利用这些漏洞可能导致在目标服务器上远程执行代码。利用这些漏洞需要启用作为Windows 组件的Windows 消息队列服务，可以通过检查是否有名为Message Queuing的服务在运行，以及计算机上是否侦听TCP 端口1801。

　　CVE-2023-21709：Microsoft Exchange Server 权限提升漏洞，此漏洞的CVSSv3评分为9.8，在基于网络的攻击中，可以通过暴力破解用户帐户密码以该用户身份登录。建议使用强密码来缓解暴力破解攻击。

　　Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。也可选择通过以下步骤手动进行更新：

　　4、更新完成后重启计算机，可通过进入“Windows更新”-“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

　　WinRAR 是一款使用广泛、功能强大的压缩文件管理工具。该软件可用于备份数据，缩减电子邮件附件的大小，解压缩从 Internet 上下载的RAR、ZIP及类型文件，并且可以创建 RAR 及 ZIP 格式的压缩文件。

　　8月18日，监测到RARLAB WinRAR中存在一个代码执行漏洞（CVE-2023-40477），该漏洞的CVSS评分为7.8。此漏洞存在于WinRAR恢复卷的处理过程中，由于对用户提供的数据缺乏适当验证，可能导致内存访问超出已分配缓冲区的末尾。可以通过诱导受害者访问恶意页面或打开恶意文件来利用该漏洞，成功利用可能导致在受影响的目标系统上执行任意代码。

　　8月24日，监测到RARLAB WinRAR中存在一个代码执行漏洞（CVE-2023-38831）。该漏洞已发现被利用，以传播各种恶意软件系列，如DarkMe、GuLoader 和 Remcos RAT，目前利用详情已经公开披露。

　　WinRAR版本6.23之前存在可欺骗文件扩展名的漏洞，可利用该漏洞创建恶意RAR或ZIP存档，这些存档中显示看似无害的诱饵文件，例如 JPG (.jpg) 图像文件、文本文件 (.txt) 或 PDF文档 (.pdf)等文件，以及与文件同名的文件夹（包括文件扩展名），当用户打开这些文件时，将执行文件夹中的恶意脚本，导致在设备上安装恶意软件。

　　对不受信任文件保持警惕，不随意打开和运行。打开或运行未知文件之前可先使用防病毒工具进行扫描。

　　Python中的urllib.parse模块主要用于解析和操作URL，它可以将URL分解为其组成部分，或者将各个组成部分组合为URL字符串。

　　Python多个受影响版本中，当整个URL以空白字符开头时，urllib.parse会出现解析问题（影响主机名和方案的解析）。可以通过提供以空白字符开头的URL来绕过使用阻止列表实现的任何域或协议过滤方法，成功利用该漏洞可能导致任意文件读取、命令执行或SSRF等。

　　通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是适合各个行业用户的综合管理办公平台。