微軟支持診斷工具MSDT存在遠程代碼執(zhí)行漏洞，亞信安全產(chǎn)品已支持檢測！

5月28日，亞信安全CERT監(jiān)測到Microsoft MSDT遠程代碼執(zhí)行0day漏洞在野利用，第一時間對該漏洞進行上報及分析、復(fù)現(xiàn)。目前微軟公司已發(fā)布了Microsoft MSDT遠程代碼執(zhí)行漏洞的緊急緩解措施公告。未經(jīng)身份驗證的攻擊者利用該漏洞，誘使用戶直接訪問或者預(yù)覽惡意的Office文檔，通過惡意Office文檔中的遠程模板功能，從服務(wù)器獲取包含惡意代碼的HTML文件并執(zhí)行，從而實現(xiàn)以當前用戶權(quán)限下的任意代碼執(zhí)行攻擊。該漏洞已知觸發(fā)需要用戶對惡意Office文檔進行直接訪問，或者在資源管理器中通過預(yù)覽選項卡對RTF格式的惡意文檔進行預(yù)覽。

目前，亞信安全信艙云主機安全(DS)信桅深度威脅發(fā)現(xiàn)設(shè)備(TDA)已經(jīng)支持對上述提及漏洞的檢測。

微軟支持診斷工具(MSDT)是一種實用程序，用于排除故障并收集診斷數(shù)據(jù)，供專業(yè)人員分析和解決問題。Microsoft Office是由微軟公司開發(fā)的一款常用辦公軟件。

病毒警訊TOP 10

熱門病毒通告

亞信安全熱門病毒綜述 -

Ransom.Win64.ASTROLOCKER.THCBDBA

該勒索病毒由其它惡意軟件釋放，或者用戶訪問惡意網(wǎng)站不經(jīng)意下載到達本機，其添加如下自啟動項目：

HKEY_CURRENT_USER\Software\Classes\.{Generated ID}\shell\Open

(Default) = explorer.exe RecoveryManual.html

該勒索病毒結(jié)束被感染機器中的如下服務(wù)：

• database

• msexchange

其避免加密文件名中包含以下字符串的文件：

• RecoveryManual.html

• ReadManual.{Generated ID}

其在被加密文件名后添加如下后綴：

• .ReadManual.{Generated ID}

對該病毒的防護可以從下述鏈接中獲取最新版本的病毒碼：17.583.60

https://console.zbox.filez.com/l/2n6wBS

影響百萬用戶！微軟發(fā)現(xiàn)Android 預(yù)裝應(yīng)用受高危漏洞影響

近日，微軟365 Defender研究團隊披露了在mce Systems提供的Android Apps移動服務(wù)框架中的嚴重安全漏洞，多個運營商的默認預(yù)裝應(yīng)用受影響，其下載量已達數(shù)百萬次。

研究人員發(fā)現(xiàn)的漏洞被追蹤為CVE-2021-42598、CVE-2021-42599、 CVE-2021-42600和CVE-2021-42601，CVSS評分在7.0分-8.9分之間，能夠讓用戶遭受命令注入和權(quán)限提升攻擊，受影響的運營商包括AT&T、TELUS、Rogers Communications、Bell Canada和Freedom Mobile。

Clop勒索軟件團伙卷土重來，工業(yè)領(lǐng)域要當心！

近日，據(jù)相關(guān)研究人員稱，Clop勒索軟件在2021年11月至2022年2月期間被有效關(guān)閉幾個月后，現(xiàn)又卷土重來。Clop正以爆炸性和意外的方式重返勒索軟件威脅領(lǐng)域的前沿，4月份威脅攻擊者的目標出現(xiàn)了顯著波動。雖然 Lockbit 2.0（103名受害者）和Conti（45名受害者）仍然是最多的威脅攻擊者，但CL0P的受害者大幅增加，從1人增加到21人。Clop具有針對性的領(lǐng)域是工業(yè)部門，45%的Clop勒索軟件攻擊針對工業(yè)組織，27%針對科技公司。

印度航空公司SpiceJet的航班受到勒索軟件攻擊的影響

2022年5月25日，印度航空公司SpiceJet通知其客戶，一次勒索軟件攻擊試圖影響了其一些系統(tǒng)，并導(dǎo)致航班起飛延誤。根據(jù)該航空公司社交媒體渠道上發(fā)布的公告，其IT團隊設(shè)法挫敗了攻擊，因此一切都恢復(fù)了正常的運營狀態(tài)。然而，Twitter和Facebook上的多份客戶報告仍然反映了持續(xù)存在的問題，突出了航班延誤，稱無法通過電話提供客戶服務(wù)，并且預(yù)訂系統(tǒng)仍然不可用。2020年1月，SpiceJet證實了一起數(shù)據(jù)泄露事件，該事件允許未經(jīng)授權(quán)的個人訪問該航空公司服務(wù)器上的數(shù)據(jù)庫備份文件。2021年，SpiceJet因COVID-19限制而停飛其機隊而陷入嚴重的財務(wù)困境，報告年收入損失28%，直接威脅到其業(yè)務(wù)的可持續(xù)性。

曝某知名車企受黑客攻擊用戶信息遭泄露

近日，從某知名車企獲悉，在2022年4月11日至29日期間，在線客戶的賬戶出現(xiàn)了可疑登錄，導(dǎo)致在未經(jīng)授權(quán)的情況下使用了客戶的獎勵積分兌換禮品。在通告中顯示，該車企一旦檢測到黑客攻擊，就會立即禁用該功能。

此外，黑客仍從客戶的在線移動應(yīng)用程序中訪問了詳細信息，其中包括姓名、郵箱地址、郵寄地址、綁定賬戶的姓名、電話、興趣點收藏等。

對此，該車企表示，其重要的信息并未遭到泄漏，因為它們未被儲存在客戶的通用汽車賬戶中。這些信息包括出生日期、社保卡號、駕照號、信用卡及銀行賬戶等。

美國奧地利聯(lián)邦州被BlackCat/ALPHV勒索團伙勒索500萬美元

美國奧地利聯(lián)邦州Carinthia遭到BlackCat勒索軟件團伙（也稱為ALPHV）的襲擊，該團伙要求500萬美元來解鎖加密的計算機系統(tǒng)。BlackCat勒索軟件團伙于2021年11月出現(xiàn)，是2021年進行殖民管道攻擊的BlackMatter黑客組織的更名。襲擊發(fā)生在2022年5月24日，并導(dǎo)致政府服務(wù)的運營嚴重中斷，據(jù)稱數(shù)千個工作站已被威脅者鎖定。Carinthia的網(wǎng)站和電子郵件服務(wù)目前處于離線狀態(tài)，政府無法簽發(fā)新護照或罰款。此外，網(wǎng)絡(luò)攻擊還破壞了通過該地區(qū)行政辦公室進行的COVID-19測試處理和接觸者追蹤。黑客提出以500萬美元的價格提供一個有效的解密工具。不過，美國奧地利聯(lián)邦州發(fā)言人Gerd Kurath表示攻擊者的要求不會得到滿足。目前沒有證據(jù)表明BlackCat實際上設(shè)法從該州的系統(tǒng)中竊取任何數(shù)據(jù)，并且計劃是從可用備份中恢復(fù)機器。Kurath還表示，在受影響的3,000個系統(tǒng)中，預(yù)計第一個系統(tǒng)將在2022年5月27日再次可用。