Emby发布紧急安全更新修复漏洞 同时远程关闭用户自建服务器

Emby发布紧急安全更新修复漏洞同时远程关闭用户自建服务器今天知名媒体服务器提供商Emby发布紧急安全更新4.7.12版修复已经被黑客利用的安全漏洞，同时Emby警告自托管用户检查安全情况，因为从5月中旬开始一名黑客设法渗透了用户自己搭建的EmbyServer，最终可以达到建立后门的目的。自2023年5月25日起EmbyServer自建服务器将自动关闭并无法启动，立即检查更新并安装EmbyServer4.7.12版。来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

微软敦促 Win10 / Win11 等用户尽快升级，已有黑客利用零日漏洞植入勒索软件

微软敦促Win10/Win11等用户尽快升级，已有黑客利用零日漏洞植入勒索软件微软本周二在安全公告中表示，已经修复了存在于Win10、Win11以及WindowsServer在内，所有受支持Windows版本内的零日漏洞。攻击者可以利用该零日漏洞，发起勒索软件攻击。微软表示该漏洞存在于Windows通用日志文件系统（CLFS）中，攻击者利用该漏洞可获取设备的所有访问权限。IT之家从网络安全公司卡巴斯基报告中获悉，已经有证据表明攻击者利用该漏洞，部署Nokoyawa勒索软件，主要针对位于中东、北美和亚洲的中小型企业的Windows服务器。攻击者利用Nokoyawa恶意软件加密文件，窃取有价值的信息，并通过公开信息等方式威胁用户支付赎金。——

HTTP / 2 协议被曝安全漏洞，被黑客利用可发起拒绝服务攻击

HTTP/2协议被曝安全漏洞，被黑客利用可发起拒绝服务攻击网络安全研究员BartekNowotarski于1月25日报告，发现HTTP/2协议中存在一个高危漏洞，黑客利用该漏洞可以发起拒绝服务（DoS）攻击。Nowotarski于1月25日向卡内基梅隆大学计算机应急小组（CERT）协调中心报告了这个发现，该漏洞被命名为“HTTP/2CONTINUATIONFlood”。该漏洞主要利用HTTP/2的配置不当实现，主要是未能限制或净化请求数据流中的CONTINUATION帧。CONTINUATION帧是一种用于延续报头块片段序列的方法，允许在多个帧中分割报头块（headerblock）。当服务器收到一个特定END_HEADERS标志，表明没有其他CONTINUATION或其他帧时，先前分割的报头块就被视为已完成。如果HTTP/2实现不限制单个数据流中可发送的CONTINUATION帧的数量，就很容易受到攻击。如果攻击者开始向未设置END_HEADERS标志的易受攻击服务器发送HTTP请求，该请求将允许攻击者向该服务器持续发送CONTINUATION帧流，最终导致服务器内存不足而崩溃，并导致成功发起拒绝服务(DoS)攻击。线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

微软警示Boa网络服务器存在漏洞 令黑客有攻击能源机构的机会

微软警示Boa网络服务器存在漏洞令黑客有攻击能源机构的机会"影响这类组件的已知CVE可以让攻击者在发起攻击前收集网络资产的信息，并通过获得有效的凭证不被发现地进入网络，"微软在一篇博文中说。"在关键基础设施网络中，能够在攻击前收集信息而不被发现，使攻击者一旦发起攻击就能产生更大的影响，有可能破坏多达数百万美元的资产和影响数百万人的生活。"BoaServer在通常的物联网（IoT）设备（如安全摄像机、路由器和软件开发工具包）上发现，尽管它自2005年以来它就已经逐渐退役了，它主要被用来访问设备的设置和管理控制台以及登录屏幕。微软仅在一周内就发现了超过100万个暴露于互联网的BoaServer组件。鉴于这种大规模持续利用已停用的网络服务中的漏洞和经由此形成的其他复杂情况，微软承认，缓解问题可能很难。"如果没有开发人员管理Boa网络服务器，其已知的漏洞可能允许攻击者通过收集文件的信息悄悄地进入网络，"微软解释说。"此外，受影响的人可能不知道他们的设备使用已停产的Boa网络服务器运行服务，而固件更新早已停止和单一下游厂商得补丁可能也很难解决其已知的漏洞。"能源部门是黑客的一个有吸引力的目标，微软表示，对BoaServer漏洞的利用仍在继续。借此，公司建议面临攻击风险的组织建立自己的保护措施。据其介绍，除了识别组织正在使用的可能有攻击风险的设备外，他们还需要执行补丁并设置配置，以便轻松发现攻击。最早观察到这一点的组织之一是美国能源部，它在3月开始做出改变以更好地加强其网络安全防御。...PC版：https://www.cnbeta.com.tw/articles/soft/1333687.htm手机版：https://m.cnbeta.com.tw/view/1333687.htm

警告：新型恶意Magisk格机模块开始通过云服务器远程下发代码

警告：新型恶意Magisk格机模块开始通过云服务器远程下发代码重要等级：需要注意原理：部分恶意攻击者利用Magisk模块的脚本执行功能，在模块中植入后门程序，通过云服务器远程发送指令。该模块在设备运行期间会自动连接服务器，获取最新的远程命令并执行潜在的恶意操作。除了能够格式化用户设备外，该操作还可以通过高权限访问用户设备的敏感信息，如短信内容和通话记录等，并将这些数据上传至远程服务器。攻击者下发的文件可全程在后台静默运行，而许多用户由于对某些平台以及发布者持有较高信任度，默认其他用户分享的模块是安全的，往往在手机或信息被泄露后才察觉问题，危害程度较高。处理建议：1.不要轻信他人发布的模块，即使在熟悉的社区平台上发布的模块也需要保持警惕。2.不要刷入来源不明、未经充分验证的模块，以免给设备带来风险。3.避免刷入任何连接到远程下载服务器的模块，防止恶意指令通过远程服务器传入。4.警惕刷入加密脚本的模块，以防其中包含恶意代码。注意：这类恶意攻击者通常是未成年人，他们的心智尚未成熟，可能不完全了解自己行为的后果，偶尔还表现出反社会倾向。其攻击行为通常没有明确的目标对象，可能只是出于对技术的好奇或自娱自乐。攻击者可能会从受害者数量的增加中获得满足感。

[图]CISA示警两个Windows和UnRAR漏洞已被黑客利用

[图]CISA示警两个Windows和UnRAR漏洞已被黑客利用美国网络安全和基础设施安全局(CISA)基于目前掌握的证据，在已知可利用漏洞（KnownExploitedVulnerabilities）目录下新增了2个新的漏洞。其中1个漏洞存在于WindowsSupportDiagnosticTool(MSDT)，并以零日（0-Day）的形式存在2年多时间，有充足的证据表明被黑客利用。这两个安全漏洞都被标记为高严重性评分，并且是目录遍历漏洞，可以帮助攻击者在目标系统上植入恶意软件。官方跟踪为CVE-2022-34713，非正式地称为DogWalk，MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。该问题最初是由研究员ImreRad于2020年1月向微软报告的，但他的报告被错误地归类为未描述安全风险，因此被驳回。今年，安全研究员j00sean再次引起了公众的关注，他总结了攻击者可以通过利用它实现的目标，并提供了视频证明：不过要利用该漏洞需要和用户进行交互，这是一个很容易通过社会工程克服的障碍，尤其是在电子邮件和基于Web的攻击中，微软在今天的一份咨询中表示：●在电子邮件攻击场景中，攻击者可以通过向用户发送特制文件并诱使用户打开文件来利用该漏洞。●在基于Web的攻击情形中，攻击者可能拥有一个网站（或利用接受或托管用户提供的内容的受感染网站），其中包含旨在利用该漏洞的特制文件。自6月初以来，0patch微补丁服务提供了一个非官方补丁，适用于大多数受影响的Windows版本（Windows7/10/11和Server2008至2022）。作为2022年8月Windows安全更新的一部分，微软今天解决了CVE-2022-34713。该公司指出，该问题已在攻击中被利用。添加到CISA的KnownExploitedVulnerabilities目录的第二个漏洞被跟踪为CVE-2022-30333，它是Linux和Unix系统的UnRAR实用程序中的路径遍历错误。攻击者可以利用它在解压操作期间将恶意文件提取到任意位置，从而在目标系统上植入恶意文件。瑞士公司SonarSource于6月下旬在一份报告中披露了该安全问题，该报告描述了如何将其用于远程执行代码，从而在未经身份验证的情况下破坏Zimbra电子邮件服务器。PC版：https://www.cnbeta.com/articles/soft/1303331.htm手机版：https://m.cnbeta.com/view/1303331.htm