《安联智库-网安周报》2022-06-12
1、中国信通院:“一键解绑”服务仍在试运行与测试阶段
近日,美国商务部工业和安全局发布了一项网络安全最终规定。中国被分到D类,在网络漏洞信息分享上受到更严格的管控。 简单来说,就是美国实体与中国政府相关的组织和个人合作时,如果发现安全漏洞和信息,不能直接公布,要先经过商务部审核。理由嘛,又是百试不爽的「国家安全」,以及「反恐需要」。 实际上,这次公布的新规定是2021年10月临时规定(征求意见稿)的最终确认。该规定将全球国家分为A、B、D、E四类,限制措施和严格程度逐步递增。 中国被分在D类,即「受限制国家和地区」,E类则为「全面禁运国家」。该规定对某些网络安全项目建立了新的控制方法,目的则是出于「国家安全和反恐考虑」。 近日,瑞星威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞(CVE-2022-30190,又名"Follina"),目前在开源代码平台上已经存在该漏洞的概念验证代码,同时捕获到相关漏洞的在野利用样本。 瑞星安全专家介绍,该样本为Microsoft Word文档,当用户手动执行后,会下载Qakbot木马程序,从而被盗取隐私信息。目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,广大用户可安装使用,避免该类威胁。 漏洞概况: 5月30日,微软发布了CVE-2022-30190这一漏洞,并介绍该漏洞存在于 Microsoft Support Diagnostic Tool(即微软支持诊断工具,以下简称 MSDT),攻击者可以利用该漏洞调用MSDT工具应用程序运行任意PowerShell代码,随后安装程序、查看、更改或删除数据,或者创建帐户。 攻击原理: 瑞星安全专家介绍,当用户打开恶意文档后,攻击者便可利用CVE-2022-30190漏洞与Microsoft Office的远程模板加载功能进行配合,由Office从远程网络服务器获取恶意HTML文件,HTML文件则会唤起MSDT工具应用程序并由其执行恶意PowerShell代码,该恶意代码将会在用户主机上从指定链接中下载Qakbot木马并执行,从而窃取用户隐私信息。 防范建议:具体操作步骤: 1. 以管理员身份运行命令提示符 2. 备份注册表项,执行命令:"reg export HKEY_CLASSES_ROOT\\ms-msdt 指定文件名称" 3. 执行命令:"reg delete HKEY_CLASSES_ROOT\\ms-msdt /f" 美国执法官员已经关闭了一系列通过出售被盗数据获得1900万美元收入的网站。这些网站贩卖的黑市数据包括重要的个人信息,如被盗的社会安全号码和出生日期。因此,这一行动被捣毁绝对是一个大胜利。 美国司法部于6月7日宣布关闭“SSNDOB Marketplace”网站。除其他事项外,该公告还包括这个令人震惊的细节。这些网站正在出售约2400万个被盗的社会安全号码。就背景而言,这个数字超过了佛罗里达州的人口。 根据美司法部的说法,SSNDOB网站的管理员在暗网犯罪论坛上创建了广告。这些广告宣传市场的服务,同时管理员提供客户支持并在买家将钱存入其账户时进行监控。 像这样的犯罪活动提醒人们,身份盗窃是一个永远存在的威胁,人们需要认真对待。下面,你会发现你可以采取的步骤来减少自己成为受害者的可能性(由USA.gov提供): 这第一个步骤应该不用多说。不要因为有人问你要个人信息(如你的出生日期、社会安全号码或银行账户号码)就分享这些信息; 一定要把旧的收据、信贷通知、账户报表和过期的信用卡撕掉; 最重要的是,创建身份窃贼无法猜测的复杂密码。此外,如果跟你有业务往来的公司的计算机系统出现漏洞请更改密码。