内存安全周报第42期 |Adobe Acrobat Reader中存在任意代码执行漏洞 – 作者:安芯网盾

安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、Adobe Acrobat Reader中存在任意代码执行漏洞(5月11日)

最近,在Adobe Acrobat Reader中发现了一个任意代码执行漏洞。

详细信息

目前,Adobe Acrobat Reader是市场上最受欢迎的功能最丰富的PDF阅读器之一。该软件支持JavaScript,因此可以处理交互式表格。

CVE-2021-28562专门通过JavaScript利用查询,允许攻击者在目标机器上执行代码。攻击者需要欺骗用户打开一个专门设计的恶意PDF来利用这个漏洞。

参考链接:

https://blog.talosintelligence.com/2021/05/vuln-spotlight-adobe-acrobat-js.html

二、Microsoft发布补丁以修补安全漏洞(5月11日)

周二,微软发布了月度安全更新,在其产品系列中披露了55个漏洞,这是自2020年1月以来的最低月度漏洞。而这个月只修补了三个关键漏洞,其中两个是“中等”严重程度,其余的是“重要”。这些都是比较严重的远程代码执行漏洞。

详细信息

CVE-2021-31166(CVSS评分9.8分)是最严重的漏洞,其存在于HTTP协议栈中,未经身份验证的攻击者可以向目标服务器发送特殊制作的数据包来利用它,一旦成功,将获得在目标服务器上执行远程代码的能力。

另一个严重的远程代码执行漏洞CVE-2021-26419存在于IE脚本引擎中。攻击者可以通过欺骗用户访问专门设计的网站来利用这个漏洞。或者,他们也可以在利用Internet Explorer的呈现引擎的应用程序或Microsoft Office文档中嵌入一个标记为“初始化安全”的ActiveX控件,然后欺骗用户打开该文件。

第三个关键漏洞存在于OLE自动化(一种进程间通信机制)中。CVE-2021-31194可以允许攻击者在目标机器上执行远程代码,而不需要任何用户交互。

参考链接:

https://blog.talosintelligence.com/2021/05/microsoft-patch-tuesday-for-may-2021.html

三、Lemon Duck Cryptojacking僵尸网络改变了攻击策略(5月10日)

据悉,Lemon Duck加密货币挖矿僵尸网络已将ProxyLogon漏洞利用组添加到了针对Microsoft Exchange服务器的一系列技巧中。而且研究人员表示,Lemon Duck背后的网络犯罪组织还已将Cobalt Strike攻击框架添加到其恶意软件工具包中,并增强了反检测功能。

详细信息

ProxyLogon由四个漏洞(CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)组成,它们可以链接在一起创建一个预认证远程代码执行漏洞(RCE)——这意味着攻击者可以在不知道任何有效的帐户证书的情况下接管服务器。这让他们可以使用电子邮件通信,并有机会安装一个webshell,以便在环境中进一步利用,比如部署勒索软件。

这个被高度宣传的漏洞开发链遭到了高级持续威胁(APT)组织的一连串攻击,他们用勒索软件和信息窃取者等各种东西感染系统,现在出于经济动机的组织也开始参与进来。

在Lemon Duck的例子中,一旦Exchange服务器被破坏,它就会使用Windows控制管理器(sc.exe)执行各种系统命令,包括复制两个名为“wanlins”的. aspx文件。aspx”和“wanlin.aspx。”

研究称:“这些文件可能是Webshell,是从C:\ inetpub \ wwwroot \ aspnet_client \复制的,C:\ inetpub \ wwwroot \ aspnet_client \是一个已知目录。而且,该恶意软件现在还利用Certutil下载并执行了两个新的恶意PowerShell脚本。

参考链接:

Lemon Duck Cryptojacking Botnet Changes Up Tactics

来源:freebuf.com 2021-05-19 11:24:10 by: 安芯网盾

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论