四月份安全補(bǔ)丁日， Adobe、Apple 和 Microsoft（以及其他公司）已經(jīng)發(fā)布了最新的安全補(bǔ)丁。

2023 年 4 月的 Adobe 補(bǔ)丁

4 月份，Adobe 發(fā)布了六個(gè)公告，解決了 Acrobat 和 Reader、Adobe Digital Editions、InCopy、Substance 3D Designer、Substance 3D Stager 和 Adobe Dimension 中的 56 個(gè) CVE。Reader的更新可能是最重要的。糾正了 16 個(gè)不同的 CVE，如果威脅行為者可以讓用戶使用受影響的 Reader 版本打開特制的 PDF，其中 14 個(gè)可能會(huì)導(dǎo)致任意代碼執(zhí)行。此更新還包括來自 Haboob SA 的 Abdul-Aziz Hariri 的四個(gè) CVE，這是他在最近的 Pwn2Own Vancouver 上成功演示的一部分。

Adobe Digital Edition的補(bǔ)丁糾正了一個(gè)嚴(yán)重級(jí)別的代碼執(zhí)行錯(cuò)誤。InCopy的修復(fù)還解決了一個(gè)單獨(dú)的關(guān)鍵級(jí)代碼執(zhí)行問題。其他更新明顯更大。Substance 3D Designer的更新解決了九個(gè)錯(cuò)誤，所有這些錯(cuò)誤都被評(píng)為嚴(yán)重。Substance 3D Stager的修復(fù)修復(fù)了 14 個(gè)漏洞，其中 10 個(gè)被評(píng)為嚴(yán)重，可能導(dǎo)致任意代碼執(zhí)行。Adobe 的最終補(bǔ)丁涵蓋了Adobe Dimension并糾正了 15 個(gè)獨(dú)特的錯(cuò)誤。這些錯(cuò)誤中共有 14 個(gè)可能導(dǎo)致任意代碼執(zhí)行，另一個(gè)是內(nèi)存泄漏。

Adobe 本月修復(fù)的錯(cuò)誤在發(fā)布時(shí)均未被列為眾所周知或受到積極攻擊。Adobe 將這些更新歸類為 3 級(jí)部署優(yōu)先級(jí)。

2023 年 4 月的 Apple 補(bǔ)丁

Apple 上周和昨天修補(bǔ)了幾個(gè) CVE，涵蓋了兩個(gè)受到主動(dòng)攻擊的漏洞。CVE-2023-28205 是 WebKit 中的一個(gè) UAF，可以在 Safari、macOS 和 iOS 中找到。它可以導(dǎo)致在登錄用戶級(jí)別執(zhí)行代碼。需要與特權(quán)升級(jí)相結(jié)合才能接管系統(tǒng)。Apple 修補(bǔ)的第二個(gè)漏洞就是這樣做的。CVE-2023-28206 是 macOS 和 iOS 中 IOSurfaceAccelerator 組件中的權(quán)限升級(jí)。Apple 沒有明確說明這些是結(jié)合使用的，但它們是由同一研究人員同時(shí)報(bào)告的，因此它們的結(jié)合使用是有道理的。

微軟 2023 年 4 月補(bǔ)丁

本月，微軟發(fā)布了 97 個(gè)新補(bǔ)丁，解決了 Microsoft Windows 和 Windows 組件中的 CVE；辦公室和辦公室組件；Windows Defender的; 共享服務(wù)器；Windows 超級(jí) V；PostScript 打印機(jī)；和微軟動(dòng)態(tài)。這是對(duì)先前發(fā)布并在今天記錄的三個(gè) Edge（基于 Chromium）CVE 的補(bǔ)充。這使今天的 CVE 總數(shù)達(dá)到了 100 個(gè)。

本月發(fā)布的修補(bǔ)的漏洞，有 7 個(gè)被評(píng)為嚴(yán)重，90 個(gè)被評(píng)為重要。雖然這一卷似乎確實(shí)與過去幾年持平，但遠(yuǎn)程代碼執(zhí)行 (RCE) 錯(cuò)誤的數(shù)量幾乎占了發(fā)行版的一半。在一個(gè)月內(nèi)看到如此多的 RCE 修復(fù)是不尋常的。另外請(qǐng)注意，微軟本月沒有解決在 Pwn2Own Vancouver 期間通過 Teams 披露的任何錯(cuò)誤。

自從 Microsoft 宣布他們將阻止 Office 文件中的宏以來，Emotet 攻擊者一直在探索分發(fā)惡意文件的替代方法。在最近的活動(dòng)中，攻擊者采用了一種新策略，即發(fā)送包含惡意 OneNote 文件的垃圾郵件。一旦打開，就會(huì)出現(xiàn)一條虛假消息，誘使受害者點(diǎn)擊文檔，下載 Emotet 感染。安裝后，該惡意軟件可以收集用戶電子郵件數(shù)據(jù)，例如登錄憑據(jù)和聯(lián)系信息。然后，攻擊者使用收集到的信息來擴(kuò)大活動(dòng)范圍并促進(jìn)未來的攻擊。

盡管大型科技公司盡最大努力在最早的時(shí)候切斷網(wǎng)絡(luò)犯罪分子，但幾乎不可能阻止每一次繞過安全措施的攻擊。我們知道 Emotet 是一種復(fù)雜的特洛伊木馬，看到它成功突破 Microsoft 的最新防御也就不足為奇了。人們可以做的最重要的事情是確保他們有適當(dāng)?shù)碾娮余]件安全措施，避免下載任何意外文件并對(duì)電子郵件的來源及其內(nèi)容持合理的懷疑態(tài)度。

上個(gè)月還透露，“Apache Log4j 遠(yuǎn)程執(zhí)行代碼”是最常被利用的漏洞，影響了全球 44% 的組織，其次是“HTTP 標(biāo)頭遠(yuǎn)程執(zhí)行代碼”，影響了全球 43% 的組織，“MVPower DVR 遠(yuǎn)程執(zhí)行代碼”影響了全球 43% 的組織。全球影響 40%。

頂級(jí)惡意軟件家族

*箭頭表示與上個(gè)月相比排名的變化。

Qbot是上個(gè)月最流行的惡意軟件，對(duì)全球組織的影響分別超過 10%，其次是Emotet和Formbook，全球影響為 4%。

• ? Qbot – Qbot 又名 Qakbot 是一種銀行木馬，于 2008 年首次出現(xiàn)。它旨在竊取用戶的銀行憑證或按鍵，通常通過垃圾郵件進(jìn)行傳播。Qbot 采用多種反虛擬機(jī)、反調(diào)試和反沙盒技術(shù)來阻礙分析和逃避檢測(cè)。
• ↑ Emotet – Emotet 是一種先進(jìn)的、自我傳播的模塊化木馬。Emotet 曾被用作銀行木馬，但最近被用作其他惡意軟件或惡意活動(dòng)的分發(fā)者。它使用多種方法來保持持久性和規(guī)避技術(shù)以避免被發(fā)現(xiàn)。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進(jìn)行傳播。
• ↓ FormBook – FormBook 是一種針對(duì) Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對(duì)較低的價(jià)格，它在地下黑客論壇中作為惡意軟件即服務(wù) (MaaS) 進(jìn)行銷售。Formbook 從各種網(wǎng)絡(luò)瀏覽器收集憑證、收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 的命令下載和執(zhí)行文件。
• ↑ AgentTesla – AgentTesla 是一種高級(jí) RAT，充當(dāng)鍵盤記錄器和信息竊取器，能夠監(jiān)視和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截取屏幕截圖，并將憑證泄露到安裝在受害者機(jī)器上的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）。
• ↓ XMRig – XMRig 是用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅行為者經(jīng)常通過將其集成到他們的惡意軟件中來濫用這種開源軟件，從而在受害者的設(shè)備上進(jìn)行非法挖掘。
• ? GuLoader – Guloader 是一款自 2019 年 12 月以來廣泛使用的下載器。GuLoader 首次出現(xiàn)時(shí)用于下載 Parallax RAT，但已應(yīng)用于其他遠(yuǎn)程訪問木馬和信息竊取程序，例如 Netwire、FormBook 和 Agent Tesla .
• ↑ Remcos – Remcos 是一種 RAT，于 2016 年首次出現(xiàn)。Remcos 通過惡意 Microsoft Office 文檔進(jìn)行自我分發(fā)，這些文檔附加在垃圾郵件中，旨在繞過 Microsoft Windows 的 UAC 安全并以高級(jí)權(quán)限執(zhí)行惡意軟件。
• ↑ NJRat – NJRat 是一種遠(yuǎn)程訪問木馬，主要針對(duì)中東的政府機(jī)構(gòu)和組織。該木馬于 2012 年首次出現(xiàn)，具有多種功能：捕獲擊鍵、訪問受害者的攝像頭、竊取存儲(chǔ)在瀏覽器中的憑據(jù)、上傳和下載文件、執(zhí)行進(jìn)程和文件操作以及查看受害者的桌面。NJRat 通過網(wǎng)絡(luò)釣魚攻擊和路過式下載感染受害者，并在命令和控制服務(wù)器軟件的支持下通過受感染的 USB 密鑰或網(wǎng)絡(luò)驅(qū)動(dòng)器進(jìn)行傳播。
• ? Tofsee – Tofsee 是一個(gè)針對(duì) Windows 平臺(tái)的 Trickler。該惡意軟件試圖在目標(biāo)系統(tǒng)上下載并執(zhí)行其他惡意文件。它可能會(huì)下載并向用戶顯示圖像文件以隱藏其真實(shí)目的。
• ↓ NanoCore ——NanoCore 是一種針對(duì) Windows 操作系統(tǒng)用戶的遠(yuǎn)程訪問木馬，于 2013 年首次在野外被發(fā)現(xiàn)。RAT 的所有版本都包含基本的插件和功能，例如屏幕捕獲、加密貨幣挖掘、遠(yuǎn)程控制桌面和網(wǎng)絡(luò)攝像頭會(huì)話盜竊。

全球受攻擊最多的行業(yè)

上個(gè)月，教育/研究仍然是全球受攻擊最嚴(yán)重的行業(yè)，其次是政府/軍隊(duì)，然后是醫(yī)療保健。

• 教育/研究
• 政府/軍隊(duì)
• 衛(wèi)生保健

最常被利用的漏洞

上個(gè)月，“Apache Log4j 遠(yuǎn)程執(zhí)行代碼”是被利用最多的漏洞，影響了全球 44% 的組織，其次是“HTTP 標(biāo)頭遠(yuǎn)程執(zhí)行代碼”，影響了全球 43% 的組織，“MVPower DVR 遠(yuǎn)程執(zhí)行代碼”影響了全球的 40%。

• ↑ Apache Log4j 遠(yuǎn)程代碼執(zhí)行 (CVE-2021-44228) – Apache Log4j 中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。
• ↑ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標(biāo)頭讓客戶端和服務(wù)器通過 HTTP 請(qǐng)求傳遞附加信息。遠(yuǎn)程攻擊者可能會(huì)使用易受攻擊的 HTTP 標(biāo)頭在受害計(jì)算機(jī)上運(yùn)行任意代碼。
• ↑MVPower DVR 遠(yuǎn)程代碼執(zhí)行——MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可以利用此弱點(diǎn)通過精心設(shè)計(jì)的請(qǐng)求在受影響的路由器中執(zhí)行任意代碼。
• ↑ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。該漏洞又名 Heartbleed，是由于處理 TLS/DTLS 心跳數(shù)據(jù)包時(shí)出現(xiàn)錯(cuò)誤造成的。攻擊者可以利用此漏洞泄露連接的客戶端或服務(wù)器的內(nèi)存內(nèi)容。
• ↓ Web 服務(wù)器惡意 URL 目錄遍歷 –在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤導(dǎo)致的，該錯(cuò)誤未正確清理目錄遍歷模式的 URI。成功的利用允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者泄露或訪問易受攻擊的服務(wù)器上的任意文件。
• ↑ Dasan GPON 路由器身份驗(yàn)證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗(yàn)證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并獲得對(duì)受影響系統(tǒng)的未授權(quán)訪問。
• ? PHP 復(fù)活節(jié)彩蛋信息泄露 – PHP 頁面中報(bào)告了一個(gè)信息泄露漏洞。該漏洞是由于不正確的 Web 服務(wù)器配置造成的。遠(yuǎn)程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制 URL 來利用此漏洞。
• ↓ HTTP 上的命令注入（CVE-2021-43936、CVE-2022-24086） ——已報(bào)告 HTTP 上的命令注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制請(qǐng)求來利用此問題。成功的利用將允許攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。
• ↑ D-Link 多個(gè)產(chǎn)品遠(yuǎn)程代碼執(zhí)行 (CVE-2015-2051) – 多個(gè) D-Link 產(chǎn)品中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。
• ↓ WordPress portable-phpMyAdmin 插件身份驗(yàn)證繞過 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份驗(yàn)證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并獲得對(duì)受影響系統(tǒng)的未授權(quán)訪問。

頂級(jí)移動(dòng)惡意軟件

上個(gè)月，Ahmyth成為最流行的移動(dòng)惡意軟件的首位，其次是Anubis和Hiddad。

• AhMyth – AhMyth 是一種遠(yuǎn)程訪問木馬 (RAT)，于 2017 年被發(fā)現(xiàn)。它通過可在應(yīng)用商店和各種網(wǎng)站上找到的 Android 應(yīng)用進(jìn)行分發(fā)。當(dāng)用戶安裝這些受感染的應(yīng)用程序之一時(shí)，惡意軟件可以從設(shè)備收集敏感信息并執(zhí)行鍵盤記錄、截屏、發(fā)送短信和激活相機(jī)等操作。
• Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自從最初被發(fā)現(xiàn)以來，它已經(jīng)獲得了額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能和各種勒索軟件功能。已在 Google 商店中提供的數(shù)百種不同應(yīng)用程序中檢測(cè)到它。
• Hiddad – Hiddad 是一種 Android 惡意軟件，它會(huì)重新打包合法應(yīng)用程序，然后將它們發(fā)布到第三方商店。它的主要功能是顯示廣告，但它也可以訪問操作系統(tǒng)內(nèi)置的關(guān)鍵安全細(xì)節(jié)。

Check Point 的全球威脅影響指數(shù)及其 ThreatCloud 地圖由 Check Point 的ThreatCloud情報(bào)提供支持。ThreatCloud 通過網(wǎng)絡(luò)、端點(diǎn)和移動(dòng)設(shè)備提供來自全球數(shù)億個(gè)傳感器的實(shí)時(shí)威脅情報(bào)。Check Point Research 是 Check Point Software Technologies 的情報(bào)和研究部門，其情報(bào)豐富了基于人工智能的引擎和獨(dú)家研究數(shù)據(jù)。