本周热点
威胁通告
- Windows文件资源管理器欺骗漏洞(CVE-2025-24071)
热点资讯
- 微软发现新的远程访问特洛伊木马,用于加密货币硬件和头盔
- PHP遭遇回调安全漏洞“围攻”,应用程序风险骤增
- AWS SNS被利用引发数据泄露及网络钓鱼危机
- Windows资源管理器漏洞导致NTLM内存泄露
- 被举报帮助朝鲜黑客洗钱后OKX暂停其去中心化交易所聚合器OKX Web3的运营
- 终于调查清楚:微软承认被下架的VSCode主题不存在恶意代码 已恢复上架
- 未修复的Windows零日漏洞自2017年起遭受11个国家级赞助威胁组织利用
- 区块链游戏平台WEMIX遭黑客攻击,损失610万美元
- Fortinet防火墙漏洞遭勒索软件利用,多家企业被黑
- 攻击者将恶意Word文件嵌入PDF以规避检测
威胁通告
1.Windows文件资源管理器欺骗漏洞(CVE-2025-24071)通告
【标签】CVE-2025-24071
【发布时间】2025-03-19 16:00:00 GMT
【概述】
近日,绿盟科技CERT监测向微软发布安全公告,修复了Windows文件资源管理器欺骗漏洞(CVE-2025-24071),CVSS评分7.5;得益于Windows资源管理器对.library-ms文件的隐式信任和文件自动解析行为,默认身份验证的攻击者通过内嵌恶意SMB路径的RAR/ZIP文档构建,在被解压时触发SMB身份验证请求,从而导致用户的NTLM泄露。目前漏洞漏洞与PoC已公开,且发现在野利用,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
热点资讯
1.微软发现新的远程访问特洛伊木马,用于加密货币硬件和头盔
【标签】特洛伊木马
【概述】
微软发现了一种新的远程访问特洛伊木马(RAT),该木马采用“复杂技术”来规避检测、持久性和窃取敏感数据。尽管该恶意软件(被称为StilachiRAT)尚未广泛传播,但微软决定公开分享妥协指标和部分指导,以帮助网络防御者检测这种威胁并减少其影响。由于StilachiRAT在野外部署的实例有限,微软尚未恶意软件侵犯了特定的威胁者或与特定的断层关联。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIu
2.PHP遭遇股市安全漏洞“围攻”,应用程序风险骤增
【标签】CVE–2025–1861
【概述】
PHP编程语言中发现存在一系列安全漏洞,这可能使Web应用程序面临一系列攻击风险。这些漏洞影响到PHP的HTTP流包装器的多个方面,带来从信息泄露到拒绝服务等各种风险。一个被追踪为CVE–2025–1861的关键问题,涉及HTTP流包装器对重定向位置的中断。“当前,由于位置楼层大小限制为1024字节,导致位置值的大小判断”,这与RFC 9110建议的8000字节外甚远。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIN
3.AWS SNS被利用引发数据泄露及网络钓鱼危机
【标签】AWS SNS
【概述】
Amazon Web Services 的简单通知服务(AWS SNS),是一种基于云的功能多样化的发布/订阅服务,在促进应用程序与用户间交互方面发挥重要作用。凭借可扩展性和集成能力,它成为队列组织的得力工具。然而,部分不分子法将其严重危害,用于数据泄露、网络钓鱼等恶意活动,从而引发了一系列的安全问题。本文将深入剖析 AWS利用SNS机制,探讨现实中漏洞的场景,并提供切实可行的检测与预防策略,推动组织深入了解SNS配置中潜藏的漏洞,借助有效的检测手段,降低风险,强化云安全防护。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIQ
4.Windows资源管理器漏洞导致NTLM丢失
【标签】CVE-2025-24071
【概述】
Windows文件资源管理器中的一个关键漏洞,被识别为CVE-2025-24071,使攻击者能够窃取NTLM散列密码,而采集任何用户交互,只需提取压缩文件即可。安全研究人员已经发布了一个概念验证漏洞,论证了这个严重的漏洞,微软在2025年3月的更新中修复了这个漏洞。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIF
5.被指控帮助朝鲜黑客洗钱后OKX暂停其去中心化交易所聚合器OKX Web3的运营
【标签】OKX Web3
【概述】
早前OKX(欧易)提供的Web 3平台被举报帮助朝鲜黑客集团洗钱,涉及的资金主要来自Bybit交易所被盗的14亿美元,Bybit称OKX Web3平台帮助洗钱的金额可能高达1亿美元。这里的Web3平台主要指的是OKX提供的去中心化交易所(DEX)聚合器OKX Web3,这个聚合器提供多种不同的去中心化交易所,这些交易所不需要进行认证即可交易。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIw
6.终于调查清楚:微软承认被下架的VSCode主题不存在恶意代码已恢复上架
【标签】VSCode
【概述】
微软承认被下架的Material Theme和Material Theme Icons主题不恶意代码,目前已经恢复上架。微软向开发者致歉并更新不一致代码和扫描程序,避免再次出现类似的情况。这些主题累计下载次数超过900次,在2月底有研究人员扫描发现这些主题存在不一致代码和安全风险并向微软通报,微软简单检查发现确实存在可疑代码,于是下这些主题将其开发者账号封禁。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIm
7.未修复的Windows零日漏洞自2017年起遭受11个国家级赞助威胁利用组织
【标签】ZDI-CAN-25373
【概述】
一个影响微软Windows的安全漏洞修复,自2017年以来,一直被来自伊朗、朝鲜和俄罗斯的11个国家级赞助组织利用,作为以数据敏感、间谍活动和经济利益为目的行动的一部分。这个零日漏洞被趋势科技的零日计划(ZDI)追踪为ZDI-CAN-25373,它允许攻击者利用提出的制作的Windows快捷方式或壳链接(.LNK)文件,在受害者的机器上执行隐藏的恶意命令。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIM
8.区块链游戏平台WEMIX遭黑客攻击,损失610万美元
【标签】WEMIX
【概述】
上个月,区块链游戏平台 WEMIX 遭遇网络攻击,导致攻击者窃取了价值约 610 万美元的 8,654,860 个 WEMIX 代币。在昨天举行的新闻发布会上,WEMIX 创始人 Kim Seok-Hwan确认了这起发生在2025年2月28日的事件,并解释称延迟发布公开声明并未试图揭露,而是为了保护参与者进一步遭受损失。“我们在2月28日发现黑客攻击后,立即关闭了此次事件的服务器,并开始进行详细分析,”Kim Seok-Hwan表示。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIH
9.Fortinet防火墙漏洞遭勒索软件利用,多家企业被黑
【标签】LockBit
【概述】
安全研究人员发现,与臭名昭著的LockBit团伙有关的黑客正利用Fortinet防火墙的两个漏洞,在多家企业网络中部署勒索软件。Forescout Research的安全研究人员在上周发布的报告中表示,他们正在追踪一个名为“Mora_001”的黑客组织,正通过Fortinet防火墙入侵企业网络,并部署其自研勒索软件“SuperBlack”。这些防火墙位于企业的边界,承担着“数字守门人”的角色。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIO
10.攻击者将恶意Word文件嵌入PDF以规避检测
【标签】MalDoc
【概述】
攻击者将恶意Word文件嵌入PDF文件中,以规避传统安全扫描。这种被称为“PDF中的MalDoc”的攻击方式,初步可延长至2023年7月,它使受害者在打开普通的文档时触发宏,可能导致系统被攻击,同时忽视常见安全工具的检测。据JPCERT/CC称,该攻击利用了技术漏洞,使文件在保留PDF签名的同时仍能作为Word文档运行。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIU