4 CVE Vulnerabilities

DefenseOne

https://easydmarc.com/blog/google-spoofed-via-dkim-replay-attack-a-technical-breakdown/

本文详细介绍了一次复杂的网络钓鱼攻击，这次攻击利用了被称为DKIM重放攻击的技术，使电子邮件看起来像是来自Google的合法通信。攻击者通过使用Google Sites创建了一个看似真实的支持页面，诱导用户输入敏感信息。文章强调了不与可疑电子邮件互动的重要性，并提供了如何识别和处理此类威胁的建议。

关键点

网络钓鱼攻击利用Google Sites创建虚假支持页面，诱导用户信任。
攻击者使用DKIM重放攻击技术，使邮件看起来像是来自Google的合法邮件。
文章提供了识别和处理可疑电子邮件的建议，强调不要点击或遵循可疑邮件中的链接。
攻击者通过多步过程，包括使用Jellyfish SMTP和Namecheap的PrivateEmail来转发邮件，最终使其通过所有认证检查。
知道真实传票的发送和交付方式有助于识别钓鱼邮件中的红旗。

https://x.com/nicksdjohnson/status/1912439023982834120

DefenseOne

https://adragos.ro/fontleak/

摘要

Fontleak是一种新技术，通过使用CSS和精心设计的字体快速从网页中窃取文本。攻击者可以通过注入任意CSS来泄露段落内容和内联脚本中的秘密。这种技术适用于最新版本的Chrome、Firefox和Safari，并绕过DOMPurify。为了保护应用程序，开发人员应使用强大的内容安全策略（CSP）并配置DOMPurify以禁止<style>标签。

关键点

Fontleak技术利用CSS和字体快速从网页中窃取文本。
攻击者可以通过注入任意CSS来泄露段落和内联脚本中的秘密。
Fontleak技术适用于最新版本的Chrome、Firefox和Safari，并绕过DOMPurify。
开发人员可以通过使用强大的内容安全策略（CSP）来保护应用程序。
Ligatures用于结合多个符号为一个，Fontleak利用这种技术进行数据泄露。
Fontleak通过定义替换规则来实现字符泄露。
SVG字体用于定义字符宽度以实现泄露。
动态导入技术可以通过控制样式表导入顺序来快速泄露文本。
Safari的字体链技术通过动态链接字体逐个字符泄露内容。
静态方法可以在不允许动态导入的情况下实现可靠的泄露。
CSS动画可以循环更新伪元素内容以系统地泄露字符。
Fontleak在一分钟内可以泄露1000个字符，并且可以扩展到其他字母表。

DefenseOne

https://hackyboiz.github.io/2025/04/13/l0ch/bypassing-kernel-mitigation-part0/ko/

摘要

这篇文章深入探讨了Windows内核缓解措施的绕过技术，特别是KASLR（内核地址布局随机化）在Windows 11和Windows Server 24H2中的新补丁。文章介绍了如何利用EntryBleed和预取旁道技术来绕过这些缓解措施，并讨论了这些方法的限制和潜在影响。

关键点

Windows 11和Windows Server 24H2引入了新的KASLR相关缓解补丁，限制了通过NtQuerySystemInformation获取内核信息的能力。
NtQuerySystemInformation函数的调用链中，ExIsRestrictedCaller函数用于检查调用者权限，以限制信息泄露。
由于SeDebugPrivilege权限的限制，中等完整性级别用户无法通过NtQuerySystemInformation获取有用的内核信息。
文章介绍了EntryBleed（CVE-2022-4543）和预取旁道技术如何绕过KASLR缓解措施。
KPTI（内核页表隔离）保护技术通过隔离用户模式和内核模式的页表，防止用户获取内核地址。
EntryBleed利用TLB缓存和prefetch指令的执行时间差异来推断内核地址。
Windows的KVA Shadow类似于KPTI，但在最近的Windows版本中默认禁用。
EntryBleed的预取技术可以在Windows上应用，部分解决了KASLR的绕过问题。
该方法在最新的Intel处理器上效果较好，但在AMD处理器上可靠性较低。
由于NtQuerySystemInformation权限限制，新的KASLR绕过技术的研究需求增加。

DefenseOne

https://hackyboiz.github.io/2024/12/08/l0ch/bypassing-kernel-mitigation-part1/ko/

摘要

这篇文章是关于绕过Windows内核缓解技术的研究，作者L0ch分享了Windows内核缓解技术的概述以及一些常见的绕过方法。文章详细介绍了DEP、kASLR、SMEP、kCFG等内核缓解技术，并探讨了如何通过利用这些技术中的漏洞来实现权限提升。

关键点

作者L0ch在三年后回归研究，计划分享更多关于Windows内核的研究。
过去的研究涉及AMD Ryzen Master驱动程序的MmMapIoSpace函数调用中缺乏验证导致的任意物理地址读写漏洞。
Windows内核有许多缓解技术，包括DEP、kASLR、SMEP、kCFG等，用于防止内存损坏导致的漏洞利用。
DEP限制堆栈和堆的执行权限，SMEP防止在Supervisor模式下执行用户模式代码。
kASLR通过随机化内核地址布局来增加利用难度，但可以通过NtQuerySystemInformation函数进行内存泄漏。
kCFG用于防止不可信指针解引用，通过检查函数指针调用前的合法性来实现。
文章还提到了绕过这些缓解技术的方法，例如使用ROP技术来绕过DEP和SMEP。
从Windows 24H2开始，NtQuerySystemInformation函数需要SeDebugPrivilege权限才能调用。
未来的研究将深入分析Windows内置内核驱动程序漏洞及其利用技术。

DefenseOne

https://hackyboiz.github.io/2025/01/12/l0ch/bypassing-kernel-mitigation-part2/ko/

摘要

本文详细介绍了如何绕过Windows内核缓解措施，重点分析了CVE-2024-21338漏洞的利用方法。文章通过研究appid.sys中的本地权限提升漏洞，探讨了如何使用PreviousMode变更技术实现内核读写权限，并提供了相关的PoC代码。

关键点

CVE-2024-21338漏洞涉及appid.sys驱动在处理来自用户模式的I/O请求时出现不受信任指针解引用问题。
通过操控SystemBuffer中的指针，用户可以在内核模式下调用任意回调函数。
kCFG和SMEP是阻止用户模式代码在内核模式下执行的关键缓解措施。
PreviousMode是KTHREAD结构中的一个字段，用于标识线程参数来自用户模式或内核模式。
通过修改PreviousMode值，可以实现内核内存的读写权限提升。
使用NtQuerySystemInformation API泄露所需地址并覆盖用户模式进程的Token值。
通过调试器修改PreviousMode值以绕过权限限制。
使用ObfDereferenceObjectWithTag宏可以有效变更PreviousMode值。
ExpProfileDelete函数可用于绕过kCFG并实现PreviousMode变更。
文章提供了完整的PoC代码示例，展示了如何通过CVE-2024-21338漏洞实现权限提升。

DefenseOne

https://cofense.com/blog/the-rise-of-precision-validated-credential-theft-a-new-challenge-for-defenders

Sekurak网站介绍了一种新的网络钓鱼技术，称为“Precision-Validated Phishing”，该技术通过验证电子邮件的真实性来提高攻击的精准度。这种方法只在确认电子邮件有效且有攻击价值时才显示虚假登录表单，从而避开了许多自动扫描工具的检测。这种技术对网络安全团队提出了新的挑战，需要采用基于行为分析的检测策略。

关键点

Precision-Validated Phishing是一种新型的网络钓鱼技术，通过验证电子邮件的真实性来提高攻击精准度。
该技术仅在确认电子邮件有效时显示虚假登录表单，避开了许多自动扫描工具的检测。
攻击者使用API和JavaScript进行实时电子邮件验证，确保只有目标用户才能看到钓鱼页面。
这种技术对网络安全团队提出了新的挑战，需要采用基于行为分析的检测策略。

DefenseOne

https://detect.fyi/identifying-device-vendors-behind-connections-attempts-based-on-mac-addresses-648ffef86941

这篇文章探讨了如何通过分析MAC地址识别设备制造商，以增强威胁检测和安全监控。作者详细介绍了MAC地址的结构，如何解码以识别设备制造商，并分享了一些KQL查询示例，以帮助检测意外的供应商、虚拟设备和潜在的攻击者基础设施。文章还介绍了如何利用这些信息识别国家攻击模式和设备供应商与连接源之间的地理不匹配。

关键点

MAC地址的结构和如何通过解码识别设备制造商。
使用Wireshark和IEEE的MAC地址数据库进行供应商分类。
如何通过KQL查询检测入站连接中的设备供应商。
分析设备制造商的国家和连接来源国家以识别异常组合。
识别使用不同供应商设备进行连接尝试的特定远程IP。

DefenseOne

https://www.mitiga.io/blog/who-touched-my-gcp-project-understanding-the-principal-part-in-cloud-audit-logs-part-2

总结

本文深入探讨了Google Cloud Platform（GCP）中的身份和主体，特别是如何在云审计日志中识别和追踪这些身份。文章详细介绍了服务代理、工作负载身份、GKE工作负载身份联合和员工身份联合等关键身份类型，以及它们在GCP审计日志中的表现形式。

关键点

服务代理是Google自动创建的一种特殊服务账户，用于执行后台任务，其行为被透明记录。客户可以查看和调整其角色绑定，但无法模拟这些账户。
工作负载身份联合允许外部工作负载和应用程序与GCP资源安全交互，而无需服务账户密钥，解决了安全风险和复杂凭证管理问题。
工作负载身份联合通过安全令牌服务（STS）进行凭证交换，提供短期访问令牌以提高安全性。
外部身份在云审计日志中被映射为内部身份格式，帮助在调查中提供透明度和可追溯性。
GKE工作负载身份联合允许GKE集群中的工作负载使用Kubernetes原生身份进行身份验证，避免使用服务账户密钥。
将Kubernetes服务账户（KSA）与Google服务账户（GSA）绑定，实现无密钥访问，并通过IAM角色进行权限管理。
员工身份联合允许用户使用外部身份提供商（IdP）安全访问GCP资源，无需Google账户或同步身份。
员工身份联合通过标准令牌交换模式进行身份验证，提供集中化的策略执行和无重复身份管理。

DefenseOne

https://www.zscaler.com/blogs/security-research/latest-mustang-panda-arsenal-paklog-corklog-and-splatcloak-p2

摘要

这篇文章分析了Mustang Panda使用的新工具，包括两个键盘记录器PAKLOG和CorKLOG，以及一个EDR规避驱动程序SplatCloak。文章详细介绍了这些工具的技术特征、持久性机制和规避检测的方法，并将其活动归因于Mustang Panda。

关键点

Mustang Panda开发了新的攻击工具，包括键盘记录器PAKLOG和CorKLOG，以及EDR规避驱动程序SplatCloak。
PAKLOG记录击键和剪贴板数据，并使用自定义编码方案来混淆日志数据。
CorKLOG使用48字符的RC4密钥加密键盘记录数据，并通过创建服务或计划任务来保持持久性。
SplatCloak通过禁用Windows Defender和Kaspersky的内核级通知回调来规避检测。
SplatDropper负责部署SplatCloak，通过哈希解析Windows API并使用单字节XOR密钥解密驱动程序。
SplatCloak使用撤销的证书加载驱动程序，动态解析Windows API函数，并检索系统模块信息。
Mustang Panda的工具与之前的活动有技术重叠，使用了控制流扁平化和RC4加密等技术。
文章确认Mustang Panda没有直接连接到C2服务器，可能依赖于手动操作或其他工具进行数据外传。

DefenseOne

https://www.cleafy.com/cleafy-labs/supercardx-exposing-chinese-speaker-maas-for-nfc-relay-fraud-operation

摘要

本文详细介绍了一种新型安卓恶意软件活动，名为“SuperCard X”，它利用NFC中继技术进行欺诈性套现。此活动通过社会工程学手段传播，诱骗受害者安装恶意应用程序，从而窃取支付卡数据。SuperCard X的检测率较低，其架构和功能集中于NFC中继攻击。

关键点

SuperCard X是一种通过恶意软件即服务(MaaS)模型提供的新型安卓恶意软件，可利用NFC中继攻击进行欺诈性套现。
该恶意软件针对银行机构和发卡机构的客户，目的是窃取支付卡数据。
SuperCard X与2024年发现的NGate恶意软件存在显著的代码重叠。
恶意软件与NFC中继的创新组合使攻击者能够使用借记卡和信用卡进行欺诈性套现。
TA越来越多地利用NFC功能来捕获和中继通过该协议交换的敏感数据。
本文深入探讨了一起针对意大利的异常活跃的欺诈活动。
该活动通过一系列精心策划的步骤展开，包括短信钓鱼和电话操控。
攻击者通过社会工程学手段引导受害者安装恶意应用程序并窃取支付信息。
SuperCard X恶意软件通过NFC中继功能捕获卡片信息并进行欺诈交易。
这种攻击即时执行，类似于“即时支付”，使得被盗资金快速转移。
SuperCard X与NFCGate开源项目代码和概念的再利用而构建。
SuperCard X架构采用模块化设计，利用两个应用程序：“Reader”和“Tapper”。
SuperCard X采用相互TLS(mTLS)来保护与其C2基础设施之间的通信安全。
SuperCard X恶意软件样本表现出针对特定关联机构或区域运营的定制版本。
此次新威胁与以往威胁的不同之处在于其依赖于NFC相关新技术的欺诈机制。

DefenseOne

https://blog.securelayer7.net/cve-2025-25364-speedify-vpn-macos-escalation/

摘要

SecureLayer7 发现了一个高危命令注入漏洞（CVE-2025-25364），存在于 Speedify VPN 的 macOS 版本中。该漏洞允许本地攻击者通过不当输入验证的 XPC 服务以 root 权限执行任意命令。Speedify VPN 已在版本 15.4.1 中修复了此问题。

关键点

SecureLayer7 发现 CVE-2025-25364 是一个高危命令注入漏洞，存在于 Speedify VPN 的 macOS 特权辅助工具中。
漏洞源于 XPC 消息中用户控制字段（cmdPath 和 cmdBin）的输入验证不当，允许攻击者注入任意命令。
此漏洞允许攻击者以 root 权限执行未经授权的命令，从而完全控制受影响的系统。
Speedify VPN 版本 15.4.1 通过重写辅助工具修复了该漏洞，不再使用未经验证的 C 语言编写的 XPC API。
概念验证代码演示了如何通过发送恶意 XPC 消息利用此漏洞。

DefenseOne

https://labs.guard.io/vibescamming-from-prompt-to-phish-benchmarking-popular-ai-agents-resistance-to-the-dark-side-1ec2fbdf0a35

摘要

本文探讨了随着生成式AI的发展，如何利用AI进行网络钓鱼攻击。Guardio实验室推出了VibeScamming Benchmark v1.0，用以评估流行AI代理在抵御这类滥用行为时的表现。通过对ChatGPT、Claude和Lovable三个平台的测试，揭示了其在应对AI驱动的网络钓鱼攻击方面的差异和潜在风险。

关键点

Guardio实验室推出VibeScamming Benchmark v1.0，以评估AI代理在抵御网络钓鱼攻击时的表现。
生成式AI使得即便是初学者也能轻松发起复杂的网络钓鱼攻击。
ChatGPT、Claude和Lovable在抵御滥用方面表现各异，揭示了AI驱动的网络钓鱼的未来风险。
VibeScamming Benchmark通过模拟真实世界的诈骗场景来测试AI模型的抵御能力。
测试包括两个主要阶段：初始阶段和提升阶段，以评估AI在生成诈骗内容时的表现。
ChatGPT在面对不当请求时表现出强烈的道德拒绝。
Claude在某些情况下会提供详细的代码和教程，帮助生成网络钓鱼内容。
Lovable能够快速生成高质量的诈骗页面，甚至提供功能齐全的管理面板。
结果显示，ChatGPT最具道德防护，而Lovable则最易被滥用。
文章呼吁AI公司重视滥用防范，将其作为产品策略的核心部分。

DefenseOne

https://visionspace.com/nasa-cfs-version-aquila-software-vulnerability-assessment/

摘要

这篇文章分析了NASA核心飞行系统(cFS)的Aquila版本中的安全漏洞。这些漏洞包括远程代码执行(RCE)、拒绝服务(DoS)和路径遍历等，可能会对关键任务系统造成严重影响。文章探讨了这些漏洞的具体表现以及潜在的解决方案。

关键点

cFS的安全评估发现了多个严重漏洞，包括远程代码执行和拒绝服务等。
内存管理模块(MM)中存在无效内存访问漏洞，可能导致拒绝服务。
MM_DumpMemToFileCmd命令的输入验证不足，可能导致文件路径被滥用，造成拒绝服务。
路径遍历漏洞允许攻击者在系统中写入任意位置。
通过内存管理模块的漏洞可实现远程代码执行，攻击者可操控内存结构。
外部应用程序的拒绝服务漏洞可能导致资源表被填满，阻止新应用程序启动。
建议包括加强内存访问验证、限制文件写入权限，以及在应用程序加载失败时进行适当的资源清理。

DefenseOne

关于 Chrome 浏览器内部结构和漏洞利用的精彩三部分系列

Part 1: https://jhalon.github.io/chrome-browser-exploitation-1/
Part 2: https://jhalon.github.io/chrome-browser-exploitation-2/
Part 3: https://jhalon.github.io/chrome-browser-exploitation-3/

DefenseOne

https://blog.epsilon-sec.com/cve-2025-31201-rpac.html

摘要

这篇文章对iOS中的CVE-2025-31201漏洞进行了详细的技术分析。该漏洞影响了名为RPAC的组件，允许攻击者绕过指针认证。文章通过逆向工程分析了libRPAC.dylib的加载和使用方式，讨论了该漏洞的成因和苹果的修复措施。

关键点

CVE-2025-31201漏洞影响了RPAC组件，允许具有任意读写能力的攻击者绕过指针认证。漏洞已在iOS 18.4.1中修复。
libRPAC.dylib未包含在Dyld共享缓存中，原因在于其特定的加载和使用方式。
文章详细分析了libRPAC.dylib的符号导入和导出情况，尤其是dlsym符号的使用及其相关的漏洞。
通过分析libRPAC.dylib，发现它是一个调试工具，用于帮助开发者更明智地处理线程。
文章解释了方法调配（method swizzling）的实现和作用，及其在漏洞中的相关性。
漏洞的成因在于Mach-O文件中静态变量的位置错误和替换攻击的可能性。
替换攻击利用了签名模式的漏洞，可以用某个目的的指针替换另一个目的的指针。
苹果通过从libRPAC.dylib中删除dlsym插入器来修复该漏洞。

DefenseOne

https://w1redch4d.github.io/post/parser-workflow/

摘要

这篇文章深入探讨了V8 JavaScript引擎中的解析器工作流程，解析抽象语法树（AST）的生成过程，以及V8中的延迟解析和编译优化技术。此外，文章还介绍了JavaScript中的作用域概念及其在V8中的实现，并分析了一个解析器中的bug（CVE-2024-5274）及其修复。

关键点

解析器在词法分析后接收令牌流，并构建表示程序语法结构的抽象语法树（AST）。
在V8引擎中，解析器与扫描器交互以获取解析所需的令牌。DoParseProgram函数是解析JavaScript程序的关键。解析器生成的AST用于后续的字节码生成和JIT优化。
V8中的延迟解析技术通过仅在代码实际需要时才解析，优化了JavaScript的执行效率。
JavaScript中的作用域包括全局作用域、模块作用域、函数作用域和块作用域。V8通过不同的解析作用域来处理JavaScript的语法复杂性。
V8中的ExpressionScope用于解析阶段以处理语法模糊性，并在AST中创建实际的Scope。
文章分析了一个V8解析器的bug（CVE-2024-5274），该bug涉及在解析箭头函数时对this关键字的错误处理。

DefenseOne

https://www.huntress.com/blog/a-catastrophe-for-control-understanding-the-screenconnect-authentication-bypass

CVE-2024-1709：使用备用路径或通道绕过身份验证（CWE-288）
CVE-2024-1708：将路径名不当限制在受限目录中（“路径遍历”）（CWE-22）

https://censys.com/blog/connectwise-screenconnect-cve-2024-1709-cve-2024-1708

DefenseOne

https://www.tenable.com/blog/confusedcomposer-a-privilege-escalation-vulnerability-impacting-gcp-composer

Tenable研究发现了一个名为ConfusedComposer的权限提升漏洞，该漏洞影响了Google Cloud Platform（GCP）的Cloud Composer。此漏洞已被修复，曾允许具有composer.environments.update权限的身份通过编辑Cloud Composer环境来提升至默认Cloud Build服务账户的权限。Cloud Build服务账户具有广泛的GCP服务权限，包括Cloud Storage和Artifact Registry等。攻击者可以通过在Composer环境中注入恶意的PyPI包来利用此漏洞。

关键点

Tenable发现了一个影响GCP Cloud Composer的权限提升漏洞ConfusedComposer，该漏洞现已被修复。
Cloud Composer是GCP中的一个基于Apache Airflow的工作流编排服务，而Cloud Build是一个CI/CD服务，攻击者可以利用Composer中的PyPI包安装功能来提升权限。
攻击者通过注入恶意PyPI包，利用Pip的安装脚本来执行任意代码，并获取Cloud Build服务账户的令牌，从而控制受害者的GCP项目。
GCP通过停止使用Cloud Build服务账户来修复此漏洞，并更新了相关文档以提高整体安全性。
ConfusedComposer漏洞是一个更广泛的云服务漏洞攻击类别的一部分，称为“Jenga®”，类似于之前发现的ConfusedFunction漏洞。

DefenseOne

https://sysdig.com/blog/security-mechanism-bypass-in-harden-runner-github-action/

Sysdig威胁研究团队发现了CVE-2025-32955，这是Harden-Runner GitHub Action中的一个漏洞，已被修补。此漏洞允许攻击者绕过Harden-Runner的禁用sudo安全机制，可能影响其他CI/CD安全产品。建议用户更新到最新版本以降低风险。漏洞影响完整性和可用性，已在版本v2.12.0中修复。

关键点

Sysdig威胁研究团队发现了CVE-2025-32955漏洞，影响Harden-Runner GitHub Action的安全机制。建议用户更新到最新版本。
Harden-Runner是一个用于增强GitHub Action工作流安全性的开源工具，易于使用，广泛被公共和非公共库采用。
攻击者可以通过绕过禁用sudo功能，获得在GitHub Actions中运行的作业的代码执行权。
Harden-Runner通过IPtables规则和自定义DNS代理服务器来实现IP和DNS域的审计和阻止。
攻击者可以通过使用Docker容器恢复sudoers文件来绕过禁用sudo功能，从而获得root权限。
CVE-2025-32955漏洞的完整性和可用性受到影响，攻击者可以修改文件和网络配置来禁用安全机制。
Harden-Runner v2.12.0版本已修复此安全问题，建议用户更新以降低风险。

DefenseOne

https://medium.com/mitre-attack/attack-v17-dfb59eae2204

摘要

这篇文章介绍了MITRE ATT&CK v17的最新更新，包括新的平台支持、技术优化、以及防御措施的提升。重点是帮助防御者跟上攻击者的步伐，尤其是在虚拟化基础设施和多样化环境中的应用。

关键点

ATT&CK v17引入了ESXi平台，以应对日益增加的虚拟化基础设施攻击。
网络平台更名为网络设备，以更准确地反映其涵盖的技术。
更新了移动平台的内容，包括五种新工具和跨域活动。
ESXi平台适配了34种现有技术，并引入了4种新技术。
攻击者利用ESXi的能力，尤其在勒索软件和持久访问活动中。
引入了新行为和技术实现，扩展了云安全和Linux覆盖。
新增了140多种分析工具，以增强防御者的可见性。
移动平台增加了新的软件、技术和缓解措施。
CTI更新涵盖多样化环境和平台通用性。
新增了多个国家支持的攻击组和网络犯罪活动。
攻击者在关键基础设施和边缘设备上展开活动。
软件和基础设施的功能性和稳定性得到提升。