其他
20230624-5th域安全微讯早报-No.150
网络空间安全对抗资讯速递
2023年6月24日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-150 星期六
今日热点导读
资讯详情
1、NIST成立新工作组应对人工智能风险
美国国家标准与技术研究所正在成立一个新的工作组,以帮助应对与人工智能相关的风险,并探索利用人工智能来解决气候变化和公共卫生等关键问题。本周早些时候,乔·拜登总统在加州与领先的人工智能专家和研究人员召开会议后,白宫于周四(22日)宣布了这项新举措。该工作组将由来自公共和私营部门的技术专家和志愿者组成,并以NIST今年早些时候发布的人工智能风险管理框架为基础。该工作组还将帮助创建可用于支持生成人工智能技术开发的指南,这些技术可用于根据学习的模式和示例生成新内容。NIST主任Laurie Locascio 在一份声明中表示:“考虑到生成人工智能前所未有的速度、规模和潜在影响,这个新小组显得尤为及时。” “我们希望识别和开发工具来更好地理解和管理这些风险。”该工作组最初将作为收集NIST生成式人工智能指导意见的工具,然后继续支持测试、评估和测量生成式人工智能工具和系统的工作。公告称,从长远来看,该小组的目标是探索联邦政府利用生成式人工智能解决涉及健康和环境的重大挑战的具体机会。美国商务部长吉娜·雷蒙多也在一份声明中表示,新的公共工作组“将有助于为那些正在开发、部署和使用生成式人工智能的组织提供必要的指导。”就在同一天,NIST宣布国家人工智能咨询委员会已向白宫提交了第一份报告,确定了未来两年的重点领域。报告称,委员会将重点研究如何利用人工智能技术带来的好处,同时有效应对其挑战和风险。https://www.nextgov.com/emerging-tech/2023/06/nist-launches-new-working-group-tackle-ai-risks/387855/2、五角大楼雄心勃勃的人工智能计划正在超越ChatGPTOpen AI的ChatGPT及其同类产品占据了今年的头条新闻,吸引了亿万富翁、粉丝、监管机构和末日论者。但最近的大部分报道也揭示了为什么五角大楼正在寻求截然不同的人工智能方法:军事领导人需要他们可以信任的工具。ChatGPT和其他超大型语言模型如此擅长模仿人类书写的一个重要原因与它们被赋予欺骗性的原因相同:人工智能核心的神经网络是通过从数百万个网站抓取信息来推动的。虽然Open AI尚未透露其使用哪些网站来训练其工具,但《华盛顿邮报》最近的一项 调查查看了研究人员用来训练类似模型的1500万个网站。毫不奇怪,如此大量的数据包含许多不真实的内容,而且如此庞大的语言和生成式人工智能模型经常撒谎。即使你要在精心挑选的网站池上训练大型语言模型,你仍然可能会遇到“人工幻觉”:“机器(例如聊天机器人)产生看似真实的感官体验的现象,与任何不对应的感觉体验”。现实世界的输入。”国防部在使用此类工具时非常谨慎。国防部负责关键技术的副首席技术官Maynard Holliday在周四(22日)的国防一号技术峰会上表示。“我们将根据我们的数据使用这些大型语言模型、这些生成式人工智能模型。因此,它们将根据国防部数据进行定制,对我们的数据进行训练,然后也在我们的计算上进行训练——无论是我们在云中还是在[本地]中的计算,以便它是加密的,我们基本上能够……分析,它的反馈。”负责政策的国防部副部长办公室新兴能力政策办公室负责人迈克·霍洛维茨表示,国防部还需要更好地构建和共享数据,即使是在就此事发出开创性指令两年后。实际上,中央司令部现在正在进行的一些练习,将跨服务和人工智能的运营商聚集在一起,进行一系列以新兴技术为中心的广泛游戏和评估。中央司令部首席技术官斯凯勒·摩尔表示,“赤龙绿洲”和“猎鹰绿洲”等演习的结构与传统的军事训练游戏不同。https://www.nextgov.com/emerging-tech/2023/06/pentagons-ambitious-ai-plans-look-less-and-less-chatgpt/387861/3、美参议院军事委员会指导建立独立的网络部队进行评估参议院军事委员会正在提议对独立的军事网络部队(类似于陆军、海军、空军、海军陆战队和太空军)进行外部评估。根据该委员会22日敲定的《2024财年国防授权法案》摘要,该条款指示“对创建网络部队或进一步发展现有部队发展和管理模式进行独立评估”。委员会周五(23日)向记者通报情况时指出,对于国防部内外建立独立网络部队或军种的前景进行了大量的讨论和建议。这项评估将是中立和平衡的,建议国防部使用国家公共管理学院来进行评估。完整法案的措辞尚未公布。十多年来,一直有传言称,鉴于网络的重要性和高度专业化,网络需要自己的服务。在过去的一年里,随着越来越多的外部团体甚至国会议员质疑军方官员建立独立网络部队的前景,这些传言变得越来越响亮。这项规定是第一批真正的此类齐射之一,为独立网络军种的可能性打开了大门,这将是继太空军创建后第七个军种——太空军隶属空军部,就像2019年,海军陆战队隶属于海军部。这项规定还遵循众议院军事委员会上周以主席名义发布的一项项目,该项目反映了委员会主席的优先事项,并包括其他成员的意见,指示总审计长审查国防部的网络作战管理。上周的项目背后的原因是确定各军种如何组织、培训和装备他们向网络司令部提供的网络战士的冗余和重复,并且在某些方面被认为是评估独立网络军种可行性的同伴。每个军种都有一个强大的基础设施,用于建立课程、资金概况、人员名册,并在此基础上建立网络空间行动。实际上,这意味着陆军、海军、空军和海军陆战队有四个独立的团队正在构思和实施网络训练要求。https://defensescoop.com/2023/06/23/senate-armed-services-committee-directs-independent-assessment-for-creating-a-cyber-force/4、新的参议院立法法案旨在堵住外国对手的通信漏洞美国参议院提出了一项新法案,旨在堵住外国对手的通讯漏洞。随着《外国对手通信透明度法案》(FACT Act) 的出台,美国联邦通信委员会(FCC)必须公布持有电信机构许可、执照或其他权力并拥有全部或部分所有权的公司名单,比如来自中国、俄罗斯、伊朗、朝鲜、古巴或委内瑞拉等国的公司。佛罗里达州共和党参议员马可·鲁比奥 (Marco Rubio)提出的立法称,“在本法案颁布后120天内,委员会应在委员会的互联网网站上公布每个实体的名单——这些实体——委员会颁发的授权;委员会颁发的许可证;或委员会颁发的任何其他授权。” 此外,所涵盖实体拥有的任何股权(或其等价物);或者未涵盖但委员会与适当的国家安全机构协商后认为适当的。该法案还规定,联邦通信委员会应“不低于每年一次”更新列表。FCC被禁止向被视为国家安全威胁的公司审查或颁发新设备许可证,但与多个相关国家有联系的公司仍持有FCC的特定授权或许可证。需要额外的透明度来确保美国电信基础设施的安全。卢比奥参议员在周四(22日)的媒体声明中表示:“我们知道,像俄罗斯这样的对手利用和渗透我们的电信基础设施,这对我们的国家安全利益构成严重威胁。” “这项法案将要求披露受到我们对手影响的拥有FCC许可证的公司,从而揭示这个问题。” 今年三月,美国国家情报总监办公室(ODNI)在其年度报告中表示,外国情报部门正在采用尖端技术,从先进的网络工具到无人系统,再到增强的技术监视设备,这提高了他们的能力和挑战美国的防御。https://industrialcyber.co/regulation-standards-and-compliance/new-senate-legislative-bill-aims-to-close-foreign-adversary-communication-loophole/5、NERC的2023年可靠性形势报告表明网络和物理安全仍然威胁可靠性北美电力可靠性公司(NERC)周四(22日)发布了2023年可靠性状况(SOR)文件。它指出网络和物理安全仍然是大容量电力系统(BPS)可靠性的关键要素。报告还指出,电力系统在2022年面临各种安全相关挑战,可能危及BPS的可靠运行。NERC在其2022年大容量电力系统性能技术评估中表示:“然而,尽管物理安全攻击导致了许多引人注目的配电中断,但BPS仍保持弹性,没有任何事件影响BPS的整体可靠性。” NERC指出:“分布式能源渗透率的不断提高导致攻击面不断扩大,需要持续开发和调整网络和物理安全标准和指南,以跟上不断变化的威胁形势。”此外,它补充说,网络知情规划应包括设计,并在规划和将技术集成到网格中时予以考虑,以增强网络稳健性。报告还补充说,敌对民族国家坚持以北美关键基础设施为目标,不断改进其方法来损害电网的可靠性、弹性和安全性。“国内极端分子已经表现出攻击电力基础设施并对电网资产采取暴力行动的意图。”据NERC报道,E-ISAC收到了8份关于网络安全事件或企图入侵的CIP-008-6报告,这些报告没有导致客户中断或BPS可靠性受到威胁。“对安全威胁的认识不断增强,强调需要采取快速响应的网络和物理缓解措施,以确保面对现有安全环境的可靠性。据NERC报告,2022年全年,E-ISAC观察到物理安全事件有所增加,与前几年相比,这对电网造成了一定程度的影响。从2022年9月到12月,E-ISAC跟踪的严重物理安全事件数量显着增加。https://industrialcyber.co/utilities-energy-power-water-waste/nerc-2023-state-of-reliability-finds-cyber-and-physical-security-continues-to-create-reliability-challenges/6、美国制裁试图影响选举的俄罗斯公民美国财政部周五(23日)对两名俄罗斯情报官员实施制裁,他们在克里姆林宫试图干预美国和全球选举的过程中“发挥了重要作用”。31岁的俄罗斯公民叶戈尔·波波夫 (Yegor Popov) 和49岁的阿列克谢·苏霍多洛夫 (Aleksei Sukhodolov)是俄罗斯联邦安全局(FSB)招募的所谓“增选者”网络的成员,旨在“支持克里姆林宫针对美国及其盟国的影响行动”。影响力行动是指克里姆林宫或与其利益一致的实体进行的秘密活动,目的是操纵或塑造其他国家的意见、政策或事件——通常涉及宣传、虚假信息活动和网络战。波波夫和苏霍多洛夫此前已被司法部起诉。由于制裁,在美国的任何财产都将被冻结,并且禁止与其进行任何金融交易。此次制裁与7月份指定亚历山大·伊奥诺夫(Aleksandr Ionov)和娜塔莉亚·布尔利诺娃 (Natalya Burlinova)为FSB增补人员直接相关。他们两人经常与波波夫和苏霍多洛夫沟通,收集有关他们“在美国和其他地方的外国恶意影响活动”的信息。例如,伊奥诺夫为波波夫和其他联邦安全局官员编写了有关美国多个政治团体以及克里姆林宫支持的在美国地方选举中作为候选人竞选的个人活动的报告。2019年夏秋两季,伊奥诺夫和波波夫就伊奥诺夫对佛罗里达州圣彼得堡地方选举中一名在初选获胜的候选人的支持进行了沟通。波波夫早在2015年就与布尔利诺娃合作。他向她提供了一份美国公民名单,并提出了可能的方法来了解他们对俄罗斯的态度。布尔利诺娃将她对这些人的影响描述为“软实力”。苏霍多洛夫还与约诺夫和波波夫合作,在世界各地(包括美国、乌克兰、西班牙、英国和爱尔兰)开展外国恶意影响行动。https://therecord.media/us-sanctions-russians-for-influencing-elections7、FBI在逮捕网络犯罪市场BreachForums的管理员三个月后查封了其域名英语网络犯罪市场BreachForums的域名于周四(22日)被查封,距该网站涉嫌管理员在美国被捕三个多月后。21岁的康纳·布莱恩·菲茨帕特里克 (Conor Brian Fitzpatrick)三月份在纽约皮克斯基尔的家中被联邦调查局(FBI)逮捕。他被指控以“pompompurin”为名运营BreachForums,并被指控串谋进行访问设备欺诈。BreachForums声称在关闭时拥有超过340,000名会员。它为犯罪分子提供了一种交易被盗信息和黑客工具的机制,特别是那些与窃取金融信息相关的工具。根据联邦调查局的法庭证词,“菲茨帕特里克的受害者包括数百万美国公民,以及一家提供电子医疗服务的美国公司、一家提供互联网托管和安全服务的美国公司以及一家美国投资公司等” ”。菲茨帕特里克被捕后,另一位名为“Baphomet”的 BreachForums管理员发帖称,他们正在根据既定的应急计划取得该论坛的所有权,但随后明显改变了主意,并宣布他们决定关闭所有内容。该论坛关闭后不久,司法部将“导致BreachForums离线的破坏行动”归功于FBI,尽管Clear Web域实际上仍然在线且可访问,尽管根据Baphomet的帖子,该域处于非活动状态。Baphomet声称有人(他推测是执法部门的人)能够通过pompompurin的帐户访问该平台的后端。目前尚不清楚为什么这些域名是在周四而不是在菲茨帕特里克被捕后早些时候被扣押的。去年,美国和欧洲执法当局宣布逮捕RaidForums管理员迪奥戈·桑托斯·科埃略 (Diogo Santos Coelho),同时用醒目页面取代论坛,宣布域名已被查封。https://therecord.media/breachforums-seized-by-fbi-months-after-arrest-of-alleged-administrator-dark-web-marketplace8、ChatGPT的制造者有超过4,500名白帽黑客在挖掘漏洞近年来,漏洞赏金活动变得如此普遍,以至于新计划通常只有定期参与其中的安全研究人员才会注意到。但当OpenAI在四月份宣布举办自己的竞赛时,它引起了头条新闻。这家广受关注的ChatGPT和其他人工智能应用程序制造商聘请了Bugcrowd平台来组织白帽黑客来探测其面向公众的技术中的漏洞。不过,规则很具体:OpenAI只希望帮助检查云资源、插件和第三方服务的连接等内容。该公司的大语言模型(为ChatGPT和其他“生成”人工智能工具提供动力的专有代码)中的任何问题或偏见都不属于该计划的范围。简而言之,OpenAI不希望参与者关注其最有趣的技术,而只关注用于访问和展示该技术的基础设施。然而,Bugcrowd创始人兼首席技术官凯西·埃利斯(Casey Ellis)表示,这场竞赛仍然为道德黑客社区和参与的两家公司提供了大量重要机会。他说,最初的反应“很吵闹”,吸引了许多原本可能不会参加漏洞赏金竞赛的参与者。埃利斯说,Bugcrowd将其视为培训技能较低的黑客的机会。OpenAI的代表拒绝对此事发表评论,但指出一篇博客文章称该公司将网络安全视为“协作努力”。该公司表示,实际人工智能模型的问题“不太适合错误赏金计划,因为它们不是可以直接修复的单独、离散的错误”。“解决这些问题通常需要大量研究和更广泛的方法。”OpenAI将为单个错误披露支付高达20,000 元的费用,类似于最近Bugcrowd竞赛中Okta和Netflix的潜在最高奖金,但低于Tesla和Sophos的奖金。已有超过4,500名研究人员报名参加OpenAI计划,比特斯拉以外的任何其他研究人员都多,大约有5,000名。截至6月中旬,漏洞赏金竞赛已经接受了50个漏洞,每个漏洞的平均奖金约为786美元。OpenAI并未公开披露有关通过Bugcrowd平台提交的任何漏洞的信息。与一类问题相关的发现——滥用API密钥(让客户可以访问ChatGPT等服务)——无法通过Bugcrowd程序本身提交;研究人员被引导至一个单独的表格。https://therecord.media/chatgpt-maker-openai-bug-bounty-program9、俄罗斯央行称2023年前三个月黑客抢劫银行客户45亿卢布根据俄罗斯央行的报告,2023年第一季度,信贷机构防止资金被盗的金额达7120亿卢布,反映出未经客户同意的270万笔交易。252,100次攻击成功,导致45亿卢布被盗。在25.15万起案件中,大多数受害者是遭受金钱损失的个人。银行的企业客户遭受了655攻击,而信贷机构本身并未受到黑客行为的影响。该行向《生意人报》表示,2022年,针对信贷机构基础设施的DDoS攻击数量大幅增加,但银行通过与监管机构和其他部门的有效互动,得以应对。然而,此类攻击仍然对银行系统的稳定性构成威胁,尤其是由出于政治动机的黑客活动分子实施的攻击。据专门防御DDoS攻击的公司Servicepipe称,2023年第一季度此类攻击的数量比去年减少了15-20%。然而,早在2023年,就出现了由于DDoS攻击而导致最大的参与者的服务不可用的情况。与信贷机构相关的另一种网络事件是短信轰炸。这是一种攻击者代表银行客户请求发送大量短信的攻击,例如进入网上银行。由于此类活动,银行的短信支付费用可能会增加三到五倍。此类攻击的目的是对银行造成财务损失或损害其声誉。然而,攻击银行客户最常见的方式是社会工程,即操纵人类的情感和信任。据俄罗斯央行称,此类攻击占事件的一半以上。自去年以来,攻击者使用恶意软件(黑客通常在攻击银行时使用恶意软件)的案例数量减少了16%。从绝对数量来看,这是每季度75次,占攻击总量的0.03%。信贷机构日益增强的安全性迫使黑客改变策略。俄罗斯银行认为,网络犯罪分子已经从使用不同策略和技术的复杂攻击转向与利用组织使用的软件漏洞相关的攻击。据专家预测,2023年银行交易对手的攻击趋势还将继续,以通过他们渗透到银行。中央银行还记录对第三方的攻击。此外,专家认为信贷机构面临的主要威胁之一是通过集成到生态系统中的金融应用程序进行的攻击。此外,攻击者还可以在应用商店中创建虚假版本的在线银行,并在社交网络上创建虚假页面。https://www.securitylab.ru/news/539274.php10、俄国家杜马正在准备一项关于深度伪造的法案在秋季会议上,国家杜马计划提交一项法案,为“深度伪造”现象给出法律定义,即使用人工智能替代照片、视频和音频材料的合成内容。国家杜马信息政策委员会向《消息报》报告了这一情况。该法案是与Roskomnadzor和专家界共同制定的。其目标是防止公民使用深度伪造品进行欺诈和名誉扫地。如今,此类视频已经很难与真实视频区分开来,各公司正在开展研究来对抗深度造假。然而,并非所有深度伪造都是恶意的。其中一些是为了娱乐或教育而创建的。例如,佛罗里达州的萨尔瓦多·达利博物馆举办了一场名为“达利的生命”(Dali Lives)的特别展览,参观者可以与一位深度造假艺术家互动,后者向他们讲述他的画作和生活的故事。英国电视频道Channel 4发布了英国女王伊丽莎白二世使用Deepfake技术伪造的圣诞祝福,警告Deepfake技术可能会误导人们。其他国家也在讨论 Deepfake的问题以及如何解决。在美国,几个州已经通过了法律,禁止在政治广告或复仇色情内容中使用深度造假。欧盟也在制定打击深度造假的措施,包括借助特殊程序来检测假货。https://www.securitylab.ru/news/539273.php11、欧盟针对企业引入严格数据共享要求的立法提案受到越来越多的批评2022年提出的欧盟数据法案旨在创建单一市场,允许数据在欧盟内部自由流动。该提案将制定规则,允许欧洲公共机构访问物联网和云设备生成的数据,并阻止非欧盟政府访问这些数据源。该法案将于下周进入最后通过阶段,但遭到科技公司和行业机构的大量批评,他们认为该提案将扼杀欧洲的竞争,并对该地区的企业产生负面影响。周五(23日)访问硅谷的欧盟内部市场专员蒂埃里·布雷顿(Thierry Breton)驳斥了这些批评,称其为“关于欧洲技术态度的神话”。布雷顿说:“我听说欧洲开放公共和工业数据的新规则被描述为保护主义。” “自信不是保护主义。我们的欧洲数据战略是释放大量大数据,并制定如何共享这些数据。”他说:“所有在欧洲运营的公司-包括美国公司-很快将不得不在欧洲各地的人工智能、在线平台和数据上应用我们的新规则。”《数据法案》的批评者包括欧洲加密倡议,这是一个加密行业机构联盟,该联盟在上周的一封公开信中批评了拟议立法中将智能合约广泛归类为“计算机程序”的做法。该组织还反对要求智能合约设计提供访问控制机制的条款,认为这会破坏该技术的核心功能。据路透社报道,今年5月,德国软件制造商SAP和西门子在致欧盟委员会主席Ursula von der Leyen的公开信中对一项要求公司共享可能危及商业秘密的数据的条款表示担忧。他们还呼吁欧盟纳入允许公司共享可能包含商业秘密的数据的功能。欧盟有望在下周讨论《数据法案》,该法案将进入欧洲议会、欧盟委员会和理事会成员之间的三方对话阶段。Euractiv周五(23日)报道称,欧盟已经就数据共享义务达成共识,尽管三方谈判将重点关注商业秘密、治理和产品安全。https://www.govinfosecurity.com/eu-to-push-ahead-data-act-despite-criticism-a-2236312、MOVEit黑客攻击:数据泄露受害者数量增加数百万美国最大的养老基金Genworth Financial报告称,在攻击者攻击其第三方服务提供商PBI Research Services后,其大约250万至270万客户和代理商似乎受到了影响。PBI使用MOVEit,该软件包含一个零日漏洞,一个俄语勒索软件组织似乎利用该漏洞窃取了数百名受害者的数据,影响了数百万人。Genworth总部位于弗吉尼亚州里士满,销售人寿保险、长期护理保险、抵押贷款保险和年金。Genworth在周四向美国证券交易委员会提交的8-K文件中报告称,针对PBI MOVEit软件的攻击使攻击者能够窃取客户和保险代理人的个人数据,包括社会安全号码。周四(22日),为超过200万活跃会员提供服务的加州公共雇员退休系统透露,其近77万名会员也因针对PBI的攻击而受到影响。CalPERS表示,PBI于6月6日向其通报了此次泄露事件,称包括姓名、出生日期和社会安全号码在内的个人信息被盗。CalPERS已开始通知受害者。Genworth于6月16日收到PBI发出的泄露警报,随后两个组织联合发起调查,以准确查明攻击者窃取了哪些数据。调查正在进行中。该养老基金承诺尽快向受害者以及联邦和州监管机构发出警报。该公司的数据泄露常见问题解答称:“受影响的个人将获得信用监控和身份盗窃保护服务。”到目前为止,调查发现,与“很大一部分”人寿保险和年金客户有关的以下数据被盗:社会安全号码、姓名、出生日期、邮政编码、居住州和保单号码。“我们正在努力了解与我们集团长期护理产品相关的哪些个人信息可能受到了影响,”根沃斯说。Cl0p勒索软件受害者名单已包括壳牌、索尼、普华永道、安永、波士顿环球报、诺顿LifeLock,甚至美国能源部,并且还在持续增长中。https://www.govinfosecurity.com/moveit-hacks-data-breach-victim-count-grows-by-millions-a-2236213、名为PindOS的强大JavaScript Dropper分发Bumblebee和IcedID恶意软件据观察,一种新的JavaScript dropper可以提供下一阶段的有效负载,例如Bumblebee和IcedID。网络安全公司Deep Instinct正在追踪名为PindOS的恶意软件,该恶意软件的“ User-Agent ”字符串中包含该名称。Bumblebee和IcedID都充当加载程序,充当受感染主机上其他恶意软件(包括勒索软件)的载体。Proofpoint最近的一份报告强调了IcedID放弃银行欺诈功能,只专注于恶意软件交付。值得注意的是,Bumblebee是另一个名为BazarLoader的加载器的替代品,该加载器归因于现已解散的TrickBot和Conti组织。Secureworks于2022年4月发布的一份报告发现了俄罗斯网络犯罪生态系统中多个参与者之间合作的证据,其中包括Conti、Emotet和IcedID。Deep Instinct对PindOS的源代码分析显示,其中包含俄语注释,这提高了电子犯罪组织之间继续合作的可能性。JavaScript Dropper PindOS,它被描述为“非常简单”的加载程序,旨在从远程服务器下载恶意可执行文件。它使用两个URL,其中一个在第一个URL无法获取DLL有效负载时充当后备。安全研究人员Shaul Vilkomir-Preisman和Mark Vaitzman表示:“检索到的有效负载是‘按需’伪随机生成的,每次获取有效负载时都会产生一个新的样本哈希值。”DLL文件最终使用rundll32.exe启动,这是一个用于加载和运行DLL的合法Windows工具。研究人员总结道:“Bumblebee和IcedID背后的参与者是否永久采用 PindOS还有待观察。”“如果这个‘实验’对这些‘同伴’恶意软件操作者来说都是成功的,那么它可能会成为他们武器库中的永久工具,并在其他威胁行为者中受到欢迎。”https://thehackernews.com/2023/06/powerful-javascript-dropper-pindos.html14、黑客利用Microsoft Teams中的漏洞跳过网络钓鱼直接传播恶意软件研究人员发现,最新版本的Microsoft Teams中存在一个错误,允许外部来源向组织的员工发送文件,尽管该应用程序通常会阻止此类活动。这为威胁行为者提供了一种替代复杂且昂贵的网络钓鱼活动的方法,可以将恶意软件传播到目标组织中,但微软不会将其作为优先事项。JUMPSEC Labs红队的研究人员Max Corbridge (@CorbridgeMax)和Tom Ellson(@tde_sec)发现了一种利用Microsoft Teams外部租户功能将恶意软件放入发送给组织员工的文件中的方法,从而绕过几乎所有现代反网络钓鱼技术,他们在本周发表的一篇博客文章中透露了保护措施。科布里奇在帖子中写道:“此漏洞影响在默认配置下使用Teams的每个组织。” “因此,它具有巨大的潜在影响力,威胁行为者可以利用它来绕过许多传统的有效负载传输安全控制。”Teams是Microsoft广泛使用的托管消息传递和文件共享应用程序,根据Microsoft财务数据,在Covid-19大流行之前,估计有91%的财富100强组织在使用该应用程序。在大流行期间,Teams的使用进一步扩大,因为许多组织开始依赖它与远程员工进行沟通和协作。研究人员表示,虽然Teams 通常用于同一组织内的员工之间的通信,但微软团队的默认配置允许公司外部的用户与员工联系。他们表示,这就是威胁行为者利用该应用程序传播恶意软件的机会。这可以通过绕过客户端安全控制来完成,这些安全控制阻止外部租户向内部用户发送文件(在这种情况下,这将是恶意的)。该漏洞为威胁行为者提供了一条“潜在的有利可图的途径”,因为他们可以直接向组织发送恶意软件,而无需制作带有恶意链接或文件的社交工程电子邮件,并希望员工上钩并点击它们。https://www.darkreading.com/vulnerabilities-threats/microsoft-teams-attack-phish-deliver-malware-directlyTHE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement