5 CVE Vulnerabilities

DefenseOne

https://github.com/EricEsquivel/Inline-EA

Inline-EA 是一个 Beacon 对象文件，用于在当前 Beacon 进程中执行 .NET 程序集，旨在绕过 Elastic、CrowdStrike Falcon 和 Microsoft Defender for Endpoint 的检测。它通过加载必要的 CLR DLL、修补 clr.dll 而不是 amsi.dll 来绕过 AMSI，以及通过 EAT 挂钩 advapi32.dll!EventWrite 来绕过 ETW。用户可以使用特定命令和参数来运行 .NET 程序集并规避检测。

关键点

Inline-EA 是一个用于执行 .NET 程集的 Beacon 对象文件，旨在绕过安全检测。
特征包括使用 LoadLibraryShim 加载 CLR DLL、修补 clr.dll 来绕过 AMSI，以及通过 EAT 挂钩来绕过 ETW。
使用说明涉及编译和加载脚本，并提供命令示例。
提供可选参数用于绕过 AMSI 和 ETW，并修补 System.Environment.Exit。
资源和演示展示了如何在 C++ 中内联执行 .NET 程序集。

DefenseOne

https://blog.talosintelligence.com/state-of-the-art-phishing-mfa-bypass/

网络犯罪分子正在通过使用逆向代理的中间人攻击（AiTM）绕过多因素认证（MFA），拦截凭证和认证Cookie。Phishing-as-a-Service（PhaaS）工具包的开发者，如Tycoon 2FA和Evilproxy，添加了使其更易于使用和更难检测的功能。WebAuthn是一种无密码的MFA解决方案，使用公钥加密来防止密码传输，并使服务器端认证数据库无效，提供对MFA绕过攻击的强大防御。尽管具有很强的安全性，WebAuthn的采用速度较慢。Cisco Talos建议组织重新评估其当前的MFA策略，以应对这些不断演变的钓鱼威胁。

关键点

网络犯罪分子通过逆向代理的中间人攻击绕过多因素认证。
Phishing-as-a-Service工具包使得钓鱼攻击更易于实施和更难检测。
WebAuthn作为无密码MFA解决方案提供了强大的安全防护，但采用速度较慢。
组织应重新评估其MFA策略以应对新的钓鱼攻击威胁。

DefenseOne

https://www.rcesecurity.com/2023/04/securepwn-part-1-bypassing-securepoint-utms-authentication-cve-2023-22620/

本文讨论了 SecurePoint UTM 防火墙解决方案中的两个严重漏洞。第一个漏洞（CVE-2023-22620）允许攻击者绕过身份验证并获得 root 访问权限。第二个漏洞（CVE-2023-22897）类似于心脏出血漏洞，能够泄露远程内存内容。文章详细描述了如何利用这些漏洞以及绕过身份验证的具体步骤。

关键点

SecurePoint UTM 中发现严重漏洞，CVE-2023-22620 允许绕过身份验证。
漏洞利用 sessionId 泄露，使攻击者能够获取管理员访问权限。
UTM 使用请求标头生成指纹，攻击者需匹配 User-Agent 字符串和 REMOTE_ADDR。
User-Agent 字符串容易被暴力破解，攻击者需猜测管理员的操作系统。
攻击者可能通过 NAT 网络利用相同的 REMOTE_ADDR。
漏洞也适用于管理员和用户面板，可能通过端口 443 泄露 sessionId。

DefenseOne

https://sec-consult.com/vulnerability-lab/advisory/ivanti-endpoint-manager-local-privilege-escalation-via-dll-search-order-hijacking/

Ivanti Endpoint Manager的安全扫描(Vulscan)自我更新中存在DLL劫持漏洞，允许低权限攻击者通过创建计划任务以SYSTEM权限运行恶意DLL，实现本地权限提升和持久性。供应商已发布补丁以修复此漏洞。

关键点

Ivanti Endpoint Manager的安全扫描自我更新存在DLL劫持漏洞，允许低权限攻击者提升到SYSTEM权限。
恶意DLL可以通过计划任务的重复执行获得持久性。
供应商提供了补丁以修复此漏洞，建议立即安装。
受影响的版本包括EPM 2024和EPM 2022 SU6及之前版本。

DefenseOne

https://outpost24.com/blog/threat-context-monthly-april-2025-encrypthub-encryptrat-media-land/

欢迎来到《威胁情报》月度博客系列，本文总结了2025年4月最相关的网络安全新闻和威胁信息。

关键点

EncryptHub是一个以财务为动机的威胁行为者，主要通过部署勒索软件、出售漏洞以及从全球高价值企业网络窃取敏感数据来获取经济利益。
EncryptHub利用ChatGPT协助其恶意操作，包括创建和配置Telegram机器人、C2服务器、钓鱼网站、邮件服务器和Onion服务。
Media Land LLC的客户数据泄露，包含购买服务器的记录和可能的个人身份信息。
美国政府恢复了对CVE数据库的资金支持，并成立了新的非营利组织CVE基金会以确保长期参与和稳定。
Oracle Cloud确认数据泄露，攻击者盗取了旧客户凭证。
StealC恶意软件发布了更新版本，增加了服务器端解密和自动暴力破解加密插件等功能。
Hunters International威胁组织推出新的数据泄露服务“World Leaks”，优先进行数据外泄。

DefenseOne

https://securelist.com/triada-trojan-modules-analysis/116380/

摘要

本文详细介绍了Triada木马的新版本，该版本是一种多阶段后门，赋予攻击者对受害者设备的无限控制。Triada利用其模块化架构在设备固件中嵌入恶意软件，并通过感染Zygote进程来影响系统上运行的每个应用程序。攻击者可以通过这些模块化功能进行加密货币盗窃、短信拦截、登录凭证窃取等多种恶意行为。文章还讨论了Triada木马的传播方式、受害者分布及其对加密货币的盗窃情况。

关键点

Triada木马利用Android设备固件中的漏洞进行攻击，感染了系统固件并影响所有应用程序。
Triada木马的新版本能够在设备固件中嵌入多阶段加载器，感染Zygote进程，从而影响系统上的每个应用程序。
Triada木马的模块化架构允许攻击者对系统进行几乎无限的控制，并根据特定应用程序定制功能。
Triada木马能够修改加密货币钱包地址、替换浏览器链接、发送任意短信并拦截回复，窃取社交媒体和消息应用的登录凭证。
Triada木马通过加载恶意库和模块来影响应用程序的内部数据目录和进程。
Triada木马能够通过DexClassLoader加载后门模块，并下载和执行其他负载。
Triada木马的加密货币窃取器针对特定应用程序进行攻击，并替换加密货币钱包地址。
Triada木马的短信模块能够拦截和过滤短信内容，并发送任意短信。
Triada木马的传播方式包括通过假冒设备固件进行感染，影响全球多个国家的用户。

DefenseOne

https://www.zscaler.com/blogs/security-research/i-stealc-you-tracking-rapid-changes-stealc

摘要

本文详细分析了恶意软件StealC V2的最新变化与功能升级，涵盖其有效载荷交付方式、加密机制、控制面板功能和通信协议的改进，并对其技术细节进行了深入探讨。

关键点

StealC V2于2025年3月推出，引入了基于JSON的网络协议，并在最新版本中启用了RC4加密。
新版本支持通过Microsoft软件安装包（MSI）和PowerShell脚本分发有效载荷。
重新设计的控制面板集成了构建器，允许攻击者根据地理位置、硬件ID（HWID）及已安装软件自定义有效载荷规则和响应。
StealC V2增加了多显示器截图捕获和统一文件抓取功能，目标包括加密钱包、游戏应用、即时通讯工具、电子邮件客户端、VPN和浏览器。
该版本支持服务器端凭证暴力破解功能，并与其他恶意软件（如Amadey）协同使用。
StealC V2的样本通常通过Themida工具进行打包，采用两阶段解混淆流程来保护代码。
与V1相比，StealC V2新增了对MSI文件和PowerShell脚本的执行支持，同时启用了RC4加密功能。
StealC V2在执行前会验证系统语言是否为独联体国家的语言，并检查是否存在重复实例。
StealC V2通过硬编码的RC4密钥解密字符串，并根据C2服务器的响应配置恶意行为。
该版本的控制面板支持基于规则的有效载荷交付、IP和HWID屏蔽、Telegram通知集成及伪404错误响应以规避检测。
最新版本的RC4加密实现为标准算法，未使用定制版本。
C2通信中引入了随机参数以避免静态签名检测。
StealC V2的更新机制通过ZIP文件分发，支持增量功能和修复。
不同版本的StealC构建模板显示了功能和加密机制的逐步改进，例如从明文字符串到RC4加密的过渡。

DefenseOne

https://www.sentinelone.com/blog/dragonforce-ransomware-gang-from-hacktivists-to-high-street-extortionists/

在最近几周，DragonForce勒索软件团伙针对英国零售商发起了一系列协调攻击，导致支付系统、库存和工资等关键业务功能受到重大干扰。该团伙最初以亲巴勒斯坦的黑客主义者身份出现，但其目标已逐渐转向金融收益和勒索。他们采用多重勒索模式，通过数据泄露网站威胁受害者，同时造成声誉损害。DragonForce通过钓鱼邮件、漏洞利用和窃取凭据等方式获取初始访问权限，并使用多种工具和技术确保持久性和权限提升。此外，该团伙还推出“白标”品牌服务，允许附属机构伪装其勒索软件为其他变种，同时从中获利。

关键点

DragonForce团伙近期针对英国零售商进行勒索攻击，造成重大服务中断。
该团伙从亲巴勒斯坦黑客主义者转变为以金融收益为主的混合型攻击者。
主要的初始访问方法包括钓鱼邮件、已知漏洞利用和凭据窃取。
DragonForce开发了基于Conti代码的新型勒索软件，支持多种平台并提供灵活的定制选项。
其“白标”服务允许附属机构独立运营，同时使用DragonForce的基础设施和代码。
SentinelOne平台提供针对DragonForce勒索软件的全面保护。

DefenseOne

https://www.island.io/blog/the-chromium-security-paradox

摘要

本文探讨了Chromium浏览器的安全模型及其局限性，尤其是对本地访问攻击的防护不足。尽管Chromium在远程威胁防御方面表现出色，但其设计选择使其难以应对恶意软件对本地敏感数据的窃取。文章还介绍了Chromium开发者如何通过Issue Tracker识别和解决漏洞，并提出企业级浏览器作为解决本地访问漏洞的潜在方案。

关键点

Chromium项目以先进的浏览器安全技术闻名，例如Same-Origin-Policy、加密实现和进程沙盒化，但其威胁模型忽略了本地访问攻击，导致用户容易受到恶意软件的影响。
数据统计显示，信息窃取型恶意软件的威胁日益严重，2023年有超过1000万台设备受害，2024年24%的数据泄露始于被盗凭证。
Chromium的威胁模型主要集中在保护用户免受远程未受信任内容的威胁，例如恶意网页，而对本地或受损环境的防护依赖操作系统级别的防御。
Chromium Issue Tracker显示，许多涉及本地攻击的安全问题被标记为“超出威胁模型范围”，而非修复。
Chromium存储敏感数据（如密码和cookies）的加密机制存在漏洞，攻击者可以轻松提取这些信息，推动了信息窃取工具的增长。
尽管引入了“应用绑定加密”技术来增强cookie的安全性，但研究人员和攻击者很快就找到了绕过此技术的方法。
恶意扩展通过强制安装机制（如ExtensionInstallForcelist注册表键）实现持久性，用户难以移除，这一问题多年来未得到解决。
DLL劫持是一种历史悠久但仍有效的攻击方式，Chromium的DLL管理存在漏洞，导致浏览器易受此类攻击。
企业级浏览器被提出作为解决方案，通过在Chromium基础上加入企业级安全定制，弥补本地访问漏洞。

DefenseOne

https://www.trendmicro.com/en_us/research/25/d/earth-kasha-updates-ttps.html

概要

本文讨论了高级持续性威胁（APT）组织Earth Kasha在2025年3月针对台湾和日本政府机构及公共机构的最新攻击活动。攻击活动主要通过鱼叉式网络钓鱼传播恶意软件（如ROAMINGMOUSE和ANEL后门），以窃取敏感信息并进行间谍活动。文章还详细描述了攻击的技术、工具和流程，同时提供了安全建议以帮助企业防范此类威胁。

关键点

Earth Kasha在2025年3月发起针对台湾和日本的鱼叉式网络钓鱼攻击，目标为政府机构和公共机构，目的是信息窃取和间谍活动。
攻击活动使用了恶意Excel文件“ROAMINGMOUSE”作为初始植入程序，并通过点击事件触发恶意程序，释放ANEL后门。
ANEL后门在2025年的版本中新增了支持在内存中执行信标对象文件（BOF）的命令。
第二阶段后门NOOPDOOR被用于持久性，NOOPDOOR支持DNS over HTTPS（DoH）以隐藏C&C通信。
攻击者利用合法应用程序（如MSBuild.exe）和工具（如SharpHide）隐藏恶意活动并实现持久性。
Earth Kasha自2017年以来一直活跃，技术和策略不断演变，其起源地被认为是中国，具有地缘政治意义。
提供的安全建议包括实施零信任策略、监控DNS滥用、禁用宏以及使用端点检测响应工具。
Trend Vision One™平台可用于检测和阻止此类攻击，并提供威胁情报和防护支持。

DefenseOne

https://research.checkpoint.com/2025/cve-2025-24054-ntlm-exploit-in-the-wild/

摘要

本文主要介绍了一个新的NTLM漏洞（CVE-2025-24054）的技术细节、利用方式及其影响。该漏洞利用恶意文件泄露NTLM哈希值，攻击者可通过最少的用户交互触发漏洞，从而进行密码破解或中继攻击。文章还分析了其他相关漏洞及其利用情况，并强调了及时修补漏洞的重要性。

关键点

CVE-2025-24054 是一个 NTLM 哈希值泄露漏洞，攻击者可通过恶意文件触发该漏洞并窃取用户密码。
微软于 2025 年 3 月 11 日发布了针对 CVE-2025-24054 的补丁，但攻击者在补丁发布后仅八天便开始利用该漏洞进行攻击。
攻击活动通过恶意垃圾邮件分发包含漏洞文件的 Dropbox 链接，目标主要是波兰和罗马尼亚的政府和私人机构。
恶意文件（如 .library-ms、.url、.website 和 .lnk 文件）通过最少的用户交互触发 SMB 连接，导致 NTLMv2-SSP 哈希值泄露。
CVE-2025-24054 的触发方式包括右键单击、拖放或简单导航到包含恶意文件的文件夹。
该漏洞与之前的 CVE-2024-43451 存在相似性，后者也曾被用于针对乌克兰的攻击活动。
攻击者通过 SMB 服务器收集泄露的 NTLMv2-SSP 哈希值，服务器分布在多个国家，包括俄罗斯、保加利亚、荷兰、澳大利亚和土耳其。
如果攻击者获取了高权限账户的哈希值，可能导致横向移动、权限提升甚至整个域的入侵。
Check Point Threat Emulation 提供了针对该漏洞的保护措施，强调组织应立即应用补丁并加强网络安全管理。

DefenseOne

https://www.varonis.com/blog/cookie-bite

总结

本文探讨了攻击者如何通过窃取浏览器的身份验证Cookie绕过多重身份验证（MFA），并持续访问云环境。文章详细描述了攻击者的技术，包括利用恶意浏览器扩展、自动化脚本和信息窃取程序等手段获取和利用Cookie。此外，文章还提供了概念验证（PoC）演示，并提出了防御建议。

关键点

攻击者通过窃取浏览器Cookie绕过MFA，利用恶意扩展和自动化脚本提取身份验证Cookie，从而冒充用户并保持持久访问。
信息窃取程序通过从受害者机器中提取身份验证令牌或购买被盗数据来劫持云会话。
恶意浏览器扩展伪装成合法工具，直接访问身份验证Cookie和会话令牌，从而实现实时会话劫持。
攻击者通过解密本地存储的Cookie，利用系统特定的加密密钥访问敏感数据。
攻击者优先窃取高价值Cookie，如企业云服务会话Cookie（如Microsoft 365、Google Workspace等）。
Azure Entra ID的关键Cookie（ESTSAUTH和ESTSAUTHPERSISTENT）是攻击目标，攻击者通过劫持这些Cookie绕过MFA并访问企业应用。
攻击者开发了自定义的Cookie窃取工具，通过浏览器扩展和PowerShell脚本实现Cookie提取和持久性。
条件访问策略（CAP）可以通过设置特定的访问条件来阻止未经授权的访问，例如限制访问位置或设备合规性。
窃取的会话Cookie可用于Azure企业应用的后期利用，如访问邮件、提升权限、横向移动等。
攻击者利用工具（如TokenSmith）操作Azure Entra ID令牌，进一步扩展权限并保持持久访问。
防御建议包括监控用户行为、配置CAP、限制浏览器扩展等。

DefenseOne

https://unit42.paloaltonetworks.com/new-malware-gremlin-stealer-for-sale-on-telegram/

关于第42单元威胁研究的文章详细介绍了一种名为Gremlin Stealer的新型信息窃取恶意软件。该恶意软件通过Telegram推广，能够窃取受害者的敏感数据，如浏览器Cookie、加密货币钱包信息、FTP和VPN凭证等，并将数据上传到其服务器。文章还提供了技术分析及Palo Alto Networks的防护与缓解措施。

关键点

Unit 42发现了一种名为Gremlin Stealer的新型信息窃取恶意软件，用C#编写，主要通过Telegram推广，目标包括浏览器数据、加密货币钱包、FTP和VPN凭证等。
Gremlin Stealer具备绕过Chrome Cookie V20保护的功能，并支持从Chromium和Gecko浏览器中窃取数据。
恶意软件可窃取加密货币钱包信息、FTP和VPN凭证，以及Telegram和Discord的会话数据。
Gremlin Stealer还会收集系统信息、信用卡信息，并将所有窃取的数据打包为ZIP文件上传到其服务器。
Palo Alto Networks通过多种产品（如Cortex XDR、Advanced WildFire等）提供防护，并建议受害者联系第42单元事件响应团队。

DefenseOne

https://www.recordedfuture.com/research/uncovering-mintsloader-with-recorded-future-malware-intelligence-hunting

摘要

MintsLoader 是一种多功能且复杂的恶意加载器，首次于 2024 年被发现。它通过多阶段感染链传播，广泛使用混淆技术、沙盒和虚拟机规避技术以及基于 DGA 的命令与控制 (C2) 通信。多个威胁组织利用 MintsLoader 进行网络攻击，其目标包括能源、法律和工业领域。Recorded Future 的威胁情报追踪能力可以有效识别 MintsLoader 样本及其相关的 C2 域，为防御者提供应对策略。

关键点

MintsLoader 是一种恶意加载器，最早于 2024 年在钓鱼和路过式下载活动中被发现。它部署二阶段有效载荷，例如 GhostWeaver、StealC 和修改版 BOINC 客户端。
该恶意软件采用混淆的 JavaScript 和 PowerShell 脚本，并具有沙盒规避技术、基于 DGA 的 C2 通信等功能。
TAG-124（LandUpdate808）是 MintsLoader 的主要使用者之一，其通过钓鱼邮件、伪装浏览器更新提示以及意大利 PEC 系统分发加载器。
MintsLoader 的混淆技术使静态检测复杂化，动态基础设施增加了监控和阻止的难度。
Recorded Future 提供最新的 MintsLoader 样本、C2 域和威胁追踪列表，有助于防御者识别和阻止恶意活动。
GhostWeaver 是 MintsLoader 部署的主要有效载荷之一，与 AsyncRAT 有代码相似性，但被证实是独立的恶意软件家族。
MintsLoader 的攻击链通常从钓鱼邮件开始，涉及 JavaScript 和 PowerShell 的多阶段执行，并通过 DGA 生成 C2 域以传播最终有效载荷。
MintsLoader 的基础设施由多个 ISP 支持，包括 Inferno Solutions 提供的“防弹”托管服务，增强了其抗打击能力。
MintsLoader 的攻击目标包括北美和欧洲的能源、法律和工业领域，常通过伪造的验证码页面或发票主题的钓鱼邮件进行传播。
攻击活动中常见的最终有效载荷包括 GhostWeaver、StealC 和修改版 BOINC 客户端。
MintsLoader 的多阶段感染链和动态基础设施使其成为网络犯罪生态系统中的重要工具，反映了网络犯罪日益复杂化的趋势。

DefenseOne

http://blog.champtar.fr/runc-symlink-CVE-2021-30465/

总结

本文详细描述了一个针对容器运行时 runc 的漏洞（CVE-2021-30465），该漏洞利用符号链接交换（symlink-exchange）攻击方法，允许攻击者通过竞态条件（TOCTOU）在 Kubernetes 环境中绕过安全检查并访问主机文件系统。文章介绍了漏洞的发现过程、概念验证（POC）、技术细节以及修复建议。

关键点

漏洞背景：作者在调试 Kubernetes 容器时发现 /var/run 被挂载到 /run，进而研究了 containerd 和 runc 如何确保挂载点在容器根文件系统内的机制。
漏洞机制：runc 使用 securejoin.SecureJoinVFS() 来验证挂载目标是否在容器根目录内，但该函数无法防止符号链接被替换，从而引发竞态条件。
POC 描述：通过创建一个共享卷的攻击性 Pod，利用多个容器启动时的时间差和符号链接交换实现对主机文件系统的访问。
技术细节：详细说明了 Kubernetes 和 runc 的挂载流程，包括如何利用符号链接和绑定挂载（bind mount）实现攻击。
漏洞影响：成功利用该漏洞后，攻击者可以访问整个主机文件系统，包括 /dev、/proc 等敏感目录。
修复建议：建议升级相关组件，并避免在卷中挂载其他卷。
漏洞成因：该漏洞源于 Docker/runc 初期的威胁模型未考虑不受信任的容器定义，Kubernetes 的多租户模型也假设团队是可信的。
时间线：详细记录了漏洞的发现、报告、修复和公开过程，包括 Google GKE Autopilot 的安全测试和奖励。

https://www.kingkk.com/2021/06/runc容器逃逸漏洞分析（CVE-2021-30465）/

DefenseOne

https://www.recordedfuture.com/research/terrastealerv2-and-terralogger

摘要

Insikt Group 发现了 Golden Chickens（又名 Venom Spider）开发的两个新恶意软件家族 TerraStealerV2 和 TerraLogger，这些恶意软件专注于凭证窃取和键盘记录功能。尽管这些工具尚未成熟，但它们表明 Golden Chickens 正在继续开发其恶意软件即服务（MaaS）生态系统。

关键点

Insikt Group 发现了两个新的恶意软件家族 TerraStealerV2 和 TerraLogger，归因于威胁行为者 Golden Chickens。
TerraStealerV2 旨在窃取浏览器凭证、加密货币钱包数据和浏览器扩展信息，但无法绕过 Chrome 的应用程序绑定加密（ABE），表明其代码可能过时或仍在开发中。
TerraStealerV2 使用多种分发格式（如 LNK、MSI、DLL 和 EXE 文件），并通过 Telegram 和 wetransfers[.]io 域进行数据外传。
TerraLogger 是一个独立的键盘记录模块，使用键盘钩子记录击键，但尚无数据外传或指挥控制（C2）功能，可能是早期开发阶段或模块化生态系统的一部分。
Golden Chickens 自 2018 年以来通过 MaaS 平台提供模块化恶意软件，主要针对高价值目标进行攻击，其工具被多个网络犯罪组织使用，包括 FIN6、Cobalt Group 和 Evilnum。
TerraStealerV2 和 TerraLogger 的开发表明 Golden Chickens 在扩展其恶意软件能力，未来可能会增强隐蔽性和功能性。
TerraStealerV2 使用 regsvr32.exe 执行，并通过 Telegram 和其他 C2 端点外传数据，包括压缩的敏感信息文件。
TerraLogger 使用 SetWindowsHookExA 安装键盘钩子，记录击键并将日志存储在本地文件中，且开发过程中出现了多次小幅更新。
Golden Chickens 的恶意软件生态系统包括多个模块化工具，如 TerraStealer、TerraTV、TerraCrypt 等，用于凭证窃取、远程控制和勒索软件部署。
Golden Chickens 的活动历史显示其从低级论坛参与者发展为 MaaS 提供商，并参与了多起高调攻击，包括 British Airways 和 Ticketmaster UK。

DefenseOne

https://zeifan.my/Right-Click-LNK/

摘要

本文讨论了一个与Windows LNK文件（快捷方式）相关的潜在安全漏洞。尽管研究者提供了漏洞的概念验证，但微软认为该问题风险较低，因此拒绝发布补丁。文章详细分析了漏洞的根本原因、技术细节以及概念验证的实现。

关键点

研究者发现Windows LNK文件存在安全漏洞，攻击者可利用该漏洞创建恶意快捷方式，执行命令而不引起用户注意。
微软拒绝修复此漏洞，理由是其“未达到安全修复的标准”，并认为“网页标记（MOTW）”机制已足够防护从互联网下载的LNK文件。
漏洞的核心是LNK文件结构中的特定标志位（如HasArguments标志）和EnvironmentVariableDataBlock的利用。
攻击者可以通过设置UNC路径来操控LNK文件的执行流，从而加载恶意网络资源。
Windows通过解析UNC路径来访问网络资源，涉及IInitializeNetworkFolder和IShellFolder2等接口，这些接口为处理网络资源提供了分层抽象。
漏洞利用的概念验证展示了如何构建恶意LNK文件，并通过Responder工具捕获NTLM哈希。
文章还提供了详细的代码示例，说明如何创建恶意LNK文件，包括设置文件头、描述、命令行参数及图标路径等。

DefenseOne

https://neodyme.io/en/blog/html_renderer_to_rce/

摘要

本文介绍了一次渗透测试中的案例，通过一个HTML到PDF转换器API端点的漏洞，研究人员成功实现了远程代码执行（RCE）。文章详细描述了如何利用服务器端XSS、旧版Chromium漏洞以及JavaScript引擎的攻击路径，并最终通过漏洞验证和调试实现了目标。

关键点

研究人员发现了一个HTML到PDF转换器API端点，能够列出远程服务器上的本地目录和文件，并通过漏洞进一步实现远程代码执行。
通过PDF元数据，研究人员识别出使用的是基于Chromium 62的EO.Pdf库，并通过本地搭建测试环境重现漏洞。
测试表明，服务器端XSS漏洞可利用恶意HTML代码实现SSRF、读取本地文件以及执行JavaScript。
EO.Pdf库使用了一个过时的Chromium 62版本，研究人员通过分析其JavaScript引擎（V8）漏洞，验证了多个CVE漏洞的可用性。
研究人员尝试通过V8调试环境构建，并成功利用CVE-2017-15428的漏洞触发崩溃，但初期未能实现可靠的远程代码执行。
最终通过移植Chrome 62的完整PoC，研究人员成功在EO.Pdf环境中执行了shellcode，弹出了计算器（CALC）。
文章强调了默认设置的安全隐患，例如未禁用JavaScript引擎和本地文件访问，这些问题可以通过调整HtmlToPdfOptions来解决。
自动化扫描工具难以发现类似漏洞，深入的手动渗透测试仍然不可替代。

DefenseOne

https://blog.quarkslab.com/proxyblobing-into-your-network.html

总结

本文介绍了Quarkslab在一次假设入侵测试中发现Azure Blob Storage服务的防火墙配置漏洞，并展示了如何利用该漏洞开发了一种名为ProxyBlob的工具。ProxyBlob是一种基于Azure Blob Storage实现的反向SOCKS5代理，能够在高度受限的网络环境中实现数据传输和通信。文章详细讲解了ProxyBlob的工作原理、配置方法、功能及其潜在的安全影响。

关键点

Quarkslab在假设入侵测试中发现Azure Blob Storage服务的防火墙规则配置存在漏洞，即使有网络限制，仍可通过Blob访问互联网。
Azure Blob Storage被证明可以用于绕过文件传输功能禁用的限制，用户可通过Blob下载或上传文件。
ProxyBlob是一种反向SOCKS5代理工具，通过Azure Blob Storage作为通信通道，实现数据传输。
ProxyBlob支持TCP/UDP/IPv6协议，提供数据加密（ChaCha20-Poly1305），并包含交互式CLI、多代理管理等功能。
工具的核心工作原理是利用Blob作为代理和客户端之间的中转站，通过读写Blob实现数据通信。
ProxyBlob目前的传输速度最高为1.5 Mbps，尽管较慢，但足以支持内部网络的工具操作和远程桌面连接。
Microsoft推荐的防火墙配置允许连接到*.blob.core.windows.net，这可能被恶意利用来绕过网络限制。
ProxyBlob的开发考虑了操作安全性（OPSEC），并计划在未来版本中进一步改进性能和功能。

DefenseOne

https://www.trendmicro.com/en_us/research/25/e/exploring-pleak.html

总结

本文深入探讨了PLeak算法，这是一种针对大型语言模型(LLMs)的系统提示泄漏攻击方法。文章分析了PLeak的工作原理、潜在风险及其对系统安全的影响，并提出了应对措施和保护策略。

关键点

PLeak是一种算法技术，旨在通过生成对抗性提示攻击LLMs，从而导致系统提示泄漏。
系统提示泄漏可能导致敏感数据（如内部规则、权限、用户角色等）的暴露，为攻击者提供利用系统漏洞的机会。
PLeak的攻击流程包括使用影子模型生成对抗性字符串，并通过优化算法提高泄漏系统提示的概率。
PLeak对不同LLMs模型具有很强的可迁移性，包括开源模型（如HuggingFace）和黑盒模型（如OpenAI GPT-4）。
研究表明，PLeak对Llama和Mistral等模型的攻击成功率较高，且对抗性字符串可跨模型家族使用。
针对PLeak攻击的防御措施包括对抗性训练、创建提示分类器，以及使用如Trend Vision One™的解决方案来保护系统。
PLeak攻击可能造成数据泄露、贸易机密暴露、权限提升、敏感信息访问等严重后果。