Windows Server 更新导致域控制器瓦解并重新启动

宣布时间 2024-03-22

1. Windows Server 更新导致域控制器瓦解并重新启动


3月21日,,,由于 Windows Server 2016 和 Windows Server 2022 的 2024 年 3 月累积更新中引入了外地清静机构子系统效劳 (LSASS) ,,,受影响的效劳器正在冻结并重新启动。。。。。LSASS 是一项 Windows 效劳,,,用于执行清静战略并处置惩罚用户登录、会见令牌建设和密码更改。。。。。正这样多治理员忠言的那样,,,在装置周二宣布的 KB5035855 和 KB5035857 Windows Server 更新后,,,具有最新更新的域控制器将由于 LSASS 内存使用量增添而瓦解并重新启动。。。。。在 Microsoft 正式认可此内存泄露问题之前,,,建议治理员从其域控制器卸载有问题的 Windows Server 更新。。。。。


https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/


2. 朝鲜 Kimsuky 网络犯法团伙已最先使用新战略开展活动


3月21日,,,据信息清静供应商 Rapid7 称,,,朝鲜污名昭著的 Kimsuky 网络犯法团伙已最先使用新战略开展活动。。。。。该团伙也被称为 Black Banshee、Thallium、APT 43 和 Velvet Chollima——恒久以来一直试图从政府机构和智库等机构获守信息,,,Rapid7 不确定该团伙怎样分发其最新攻击,,,但确信有用负载包括有毒的 Microsoft 编译 HTML 资助 (CHM) 文件以及 ISO、VHD、ZIP 和 RAR 文件。。。。。CHM 文件可以包括文本、图像和超链接。。。。。Kimsuky 可能对它们更感兴趣,,,由于它们可以执行 JavaScript。。。。。Rapid7 的研究职员破解了其中一个 CHM 文件,,,他们以为这是 Kimsuky 的作品,,,并发明了“一个使用 HTML 和 ActiveX 在 Windows 盘算机上执行恣意下令的示例,,,通常用于恶意目的”。。。。。


https://www.theregister.com/2024/03/21/kimsuky_chm_file_campaign/


3. 威胁行为者使用 JETBRAINS TEAMCITY 误差撒播恶意软件


3月20日,,,趋势科技研究职员发明使用 JetBrains TeamCity 中最近披露的误差CVE-2024-27198  (CVSS 评分:9.8)和CVE-2024-27199(CVSS 评分 7.3)清静误差来安排多个恶意软件的攻击活动。。。。。CVE-2024-27198 是 TeamCity Web 组件中的一个身份验证绕过误差,,,由替换路径问题 ( CWE-288 ) 引起,,,CVSS 基本评分为 9.8(严重)。。。。。CVE-2024-27199是 TeamCity Web 组件中的一个身份验证绕过误差,,,由路径遍历问题 ( CWE-22 ) 引起,,,CVSS 基本评分为 7.3(高)。。。。。这些误差可能使未经身份验证的攻击者能够通过 HTTP(S) 会见 TeamCity 效劳器来绕过身份验证检查并获得对该 TeamCity 效劳器的治理控制。。。。。


https://securityaffairs.com/160823/breaking-news/jetbrains-teamcity-flaws-actively-exploited.html


4. 新的循环 DoS 攻击可能会影响多达 30万个系统


3月20日,,,一种名为“循环 DoS”的新拒绝效劳攻击针对应用层协议,,,可以将网络效劳配对到无限通讯循环中,,,从而爆发大宗流量。。。。。该攻击由CISPA 亥姆霍兹信息清静中心的研究职员设计,,,使用用户数据报协议 (UDP),,,影响预计 300,000 台主机及其网络。。。。。此次攻击可能是由于 UDP 协议实现中的一个误差(现在跟踪为CVE-2024-2169 )造成的,,,该误差容易受到 IP 诱骗,,,并且不提供足够的数据包验证。。。。。使用该误差的攻击者会建设一种自我延续的机制,,,该机制会无限制地爆发过多的流量,,,并且无法阻止它,,,从而导致目的系统甚至整个网络泛起拒绝效劳 (DoS) 情形。。。。。循环 DoS 依赖于 IP 诱骗,,,并且可以从发送一条新闻以启动通讯的单个主机触发。。。。。


https://www.bleepingcomputer.com/news/security/new-loop-dos-attack-may-impact-up-to-300-000-online-systems/


5. 伊朗黑客声称已入侵以色列的核设施


3月21日,,, 一个与伊朗有关的黑客组织声称在“匿名”黑客宣布的一起事务中破损了以色列敏感核设施的盘算机网络,,,以抗议加沙战争。。。。。黑客声称从西蒙·佩雷斯·内盖夫核研究中心窃取并宣布了数千份文件,,,包括 PDF、电子邮件和 PowerPoint 幻灯片。。。。。这个神秘设施内有一个与以色列未果真的核武器妄想有关的核反应堆,,,历史上一直是哈马斯火箭的目的。。。。。该组织在社交媒体新闻中诠释了他们的意图,,,声称“我们不像嗜血的内塔尼亚胡和他的恐怖军队那样,,,我们以没有平民受到危险的方法举行这次行动。。。。。” 只管有这一声明,,,该组织在另一条社交媒体新闻中体现,,,它“无意举行核爆炸,,,但这次行动很危险,,,任何事情都可能爆发”,,,同时还宣布了一段描绘核爆炸和呼吁撤离职员的动画视频。。。。。


https://news.hitb.org/content/iranian-hackers-claim-have-breached-israeli-nuclear-facility


6. 研究职员称 AceCryptor 恶意软件在欧洲激增


3月21日,,,作为针对欧洲各地组织的活动的一部分,,,已经发明了涉及 AceCryptor 工具的数千个新熏染,,,黑客混淆恶意软件并将其植入系统而不被防病毒软件检测到。。。。。ESET 的研究职员花了数年时间跟踪 AceCryptor,,,他们周三体现,,,最近的攻击活动与之前的迭代差别,,,由于攻击者扩展了内部打包的恶意代码类型。。。。。AceCryptor 通常与名为 Remcos或 Rescoms 的恶意软件一起使用,,,这是一种强盛的远程监视工具,,,研究职员已发明该工具多次用于针对乌克兰的组织。。。。。除了 Remcos 和另一个熟悉的工具 SmokeLoader 之外,,,ESET 体现,,,现在还发明 AceCryptor 分发 STOP 勒索软件和 Vidar 窃取程序等恶意软件。。。。。ESET 凭证目的国家/地区发明了一些差别。。。。。乌克兰的攻击使用了SmokeLoader,,,而波兰、斯洛伐克、保加利亚和塞尔维亚的攻击则使用了Remcos。。。。。 


https://therecord.media/acecryptor-malware-surge-europe-remcos