每日安全动态推送(12-2)

渗透技巧 2个月前 admin
136 0 0

• 慢雾:警惕 TransferFrom 零转账骗局:
https://mp.weixin.qq.com/s/vnHnDG435WYIoN2VNK_oTw

   ・ TransferFrom 函数未强制要求授权转账数额必须大于 0,因此可以从任意用户账户向未授权的账户发起转账 0 的交易而不会失败,用户可能因此进行误操作 – keenan


• 大事件!密码神器LastPass承认黑客窃取了客户数据 - FreeBuf网络安全行业门户:
https://www.freebuf.com/news/351313.html

   ・ LastPass的数据有可能已经被黑客窃取! – Atum


• New details on commercial spyware vendor Variston:
https://blog.google/threat-analysis-group/new-details-on-commercial-spyware-vendor-variston/

   ・ Google TAG发表了一篇关于可能来自于西班牙巴塞罗那的一家名为Variston IT的公司所开发的Heliconia利用框架,其中分为主要的三个部分:Heliconia Noise(一个web框架,用于部署浏览器sbx-issues1228036),Heliconia Soft(一个web框架用于部署含有Windows Defender的exp利用-CVE-2021-42298),File(适用于 Windows 和 Linux 的 Firefox 漏洞利用链-CVE-2022-26485) – crazyman


• Researchers Find a Way Malicious NPM Libraries Can Evade Vulnerability Detection:
https://thehackernews.com/2022/11/researchers-find-way-malicious-npm.html

   ・ 通过构造预发布版本的 NPM 包可引入漏洞或恶意代码并逃过检测 – andreszeng


• [Virtualization] Huawei Security Hypervisor Vulnerability:
https://blog.impalabs.com/2212_advisory_huawei-security-hypervisor.html

   ・ Huawei Hypervisor-利用系统日志系统的OOB访问(CVE-2021-39979) – crazyman


• [Vulnerability] Intel Data Center Manager 4.1.1.45749 Authentication Bypass / Spoofing:
https://packetstormsecurity.com/files/170065

   ・ 伪造 Kerberos 和 LDAP 服务器并使用一个公开 SID,可绕过 Intel Data Center Manager 的身份鉴别过程 – andreszeng


• Researchers Disclose Critical RCE Vulnerability Affecting Quarkus Java Framework:
https://thehackernews.com/2022/12/researchers-disclose-critical-rce.html

   ・ 针对Redhat开源的Java框架Quarkus开发者的钓鱼攻击,开发者访问恶意网站后js代码通过修改Quarkus的配置实现对于develpoment Box的RCE – xmzyshypnc


• CVE-2022-22972 VMware Workspace ONE Access 身份认证绕过漏洞分析:
https://paper.seebug.org/2031/

   ・ 在进行身份认证时,程序会基于用户可控的HTTP请求的Host域构造新请求,并通过这一新请求的返回结果判断用户是否认证成功。若用户修改Host指向自己可控HTTPS服务器,则可以绕过身份认证。 – WireFisher

   

• [Windows] ADFSRelay: NTLM Relaying Attacks Targeting ADFS:
https://securityonline.info/adfsrelay-ntlm-relaying-attacks-targeting-adfs/

   ・ 安全工具,可解析NTLM消息、可实现针对微软ADFS服务的NTLM转发攻击 – WireFisher


• [Conference] Black Hat USA 2022:
https://www.youtube.com/playlist?list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq

   ・ Black Hat USA 2022 会议演讲视频公开了。 – P4nda


* 查看或搜索历史推送内容请访问:
https://sec.today

* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab


原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(12-2)

版权声明:admin 发表于 2022年12月2日 上午10:37。
转载请注明:每日安全动态推送(12-2) | CTF导航

相关文章

暂无评论

暂无评论...