微软在发布的安全公告(ADV200001)中提到了一个影响IE浏览器的0day 远程代码执行漏洞——CVE-2020-0674，微软确定该 0day漏洞已有在野利用。根据微软发布的安全公告，CVE-2020-0674漏洞是一个远程代码执行漏洞，漏洞存在于IE浏览器中的脚本引擎在内存中处理对象的方式。该漏洞会破坏内存以至于攻击者可以在当前用户环境下执行任意代码。成功利用该漏洞的攻击者可以获取与当前用户相同的用户权限。如果当前用户是以管理员用户权限登陆的，那么攻击者也就获取了管理员用户权限，可以通过利用该漏洞完全控制受影响的系统。攻击者成功利用该漏洞

概述近日，研究人员发现Citrix Application Delivery Controller (ADC)和Citrix Gateway中存在一个目录遍历漏洞，远程攻击者利用该漏洞可以发送目录遍历请求，从系统配置文件中读取敏感信息而无需用户认证，并可以远程执行任意代码。该漏洞影响所有支持的产品版本和所有支持的平台：• Citrix ADC和Citrix Gateway version 13.0 all supported builds• Citrix ADC和NetScaler Gateway version 12.1 all supported builds• Citrix ADC和NetScaler Gateway version 12.0 all supported builds• Citrix ADC和NetScale

0x00 漏洞原理分析ECC椭圆曲线加密（Elliptic curve cryptography）是一种建立公开密钥加密的算法，基于椭圆曲线数学，于1985年由Neal Koblitz和Victor Miller分别独立提出的。ECC的主要优势在于某些情况下比其他方法使用更小的密钥（如RSA加密算法）来提供相当或更高等级的安全。ECC椭圆曲线加密原理在于：设G为曲线上一点，d为一个整数令点Q = d.G，若给定d和G，很容易求出Q，若给定G和Q ，很难求出d。 其中Q为公钥，d为私钥。CVE-2020-0601漏洞原理在于 win10 增加了对带参数ECC密钥的支持，但在 crypt32.dll 中做签名验证时，只检查匹

2020年1月15日，我们监测到Microsoft 发布了2020年1月的安全更新，该更新修复了Windows CryptoAPI验证绕过漏洞（CVE-2020-0601）。NSA已将该漏洞报告给Microsoft。Windows CryptoAPI（Crypt32.dll）验证椭圆曲线加密算法证书并影响Windows 10和Windows Server 2016/2019以及依赖Windows CryptoAPI的应用程序的方式中存在此漏洞。攻击场景包括：1.使用伪造的证书对恶意可执行文件进行签名，使文件看起来像是来自受信任的来源。2.进行中间人攻击，并解密连接到受影响软件的用户机密信息。2020年1月安全更新修复的其他严重漏洞包括：CVE-2020

在Adobe今天发布 2020年第一个补丁星期二更新之后，微软现在还发布了其1月安全公告，警告数十亿用户其各种产品中存在49个新漏洞。最新的星期二补丁程序的特别之处在于，其中一项更新修复了国家安全局（NSA）发现并报告给公司的广泛使用的Windows 10，Server 2016和2019版本的核心加密组件中的严重缺陷。美国。更有意思的是，这是NSA负责任地向Microsoft报告的Windows OS中的第一个安全漏洞，与 Eternalblue SMB漏洞不同该机构保守秘密至少五年，然后被一个神秘团体泄露给公众，这在2017年引起了WannaCry的威胁。CVE-2020-0601：Windows Cr

英特尔在其名为Intel VTune Profiler的性能分析工具中警告存在严重漏洞。如果利用此漏洞，则攻击者可以对对手执行特权升级攻击，从而使他们可以提升权限并未经授权地访问目标系统。VTune Profiler（以前称为VTune Amplifier）是面向串行和多线程应用程序开发人员的软件性能分析应用程序。尽管该应用程序支持Windows，Linux和Android平台，但英特尔表示更新8之前的Windows英特尔VTune Profiler版本受到影响。英特尔安全更新称： “更新8之前的Windows英特尔VTune Amplifier驱动程序中对驱动程序的不当访问控制可能会使经过身份验证的用户潜

我们在Google Play商店中发现了三个恶意应用程序，它们可以协同工作以破坏受害者的设备并收集用户信息。其中一个名为Camero的应用利用了CVE-2019-2215这个漏洞，该漏洞存在于Binder（Android中主要的进程间通信系统）中。这是使用Free-After-Free漏洞在野外的第一个已知的主动攻击。有趣的是，在进一步调查中，我们还发现这三个应用程序可能是SideWinder威胁参与者小组的武器库的一部分。自2012年以来一直活跃的SideWinder小组是一个已知的威胁，据报道已瞄准军事实体的Windows计算机。这三个恶意应用伪装成摄影和文件管理器工具。根据其中

Citrix漏洞CVE-2019-19781于2019年12月首次发现。容易受到攻击的产品包括Citrix Application Delivery Controller（NetScaler ADC）和Citrix Gateway（NetScaler Gateway）。尽管Citrix为缓解攻击采取了共同的缓解措施，但仍向公众发布了浓度证明代码，这有可能助长了针对CVE-2019-19781的一系列攻击。据Citrix称，该漏洞影响了以下方面：所有受支持的版本上的Citrix NetScaler ADC和NetScaler Gateway v。10.5；在所有受支持的内部版本上的Citrix ADC和NetScaler Gateway v 11.1、12.0、12.1；以及所有受支持的版本上的Citrix ADC和Citri

Citrix网关（NetScaler Gateway）和Citrix Application Delivery Controller（NetScaler ADC）中最近发现的漏洞可能使80,000家公司遭受黑客攻击。更新。根据最新信息，存在针对CVE-2019-19781漏洞的有效利用，这些漏洞使攻击者可以轻松地执行任意代码执行攻击，而无需帐户凭据。Citrix漏洞（CVE-2019-19781）对全球公司意味着什么一位研究人员最近发现了Citrix Application Delivery Controller（NetScaler ADC）和Citrix Gateway（NetScaler Gateway）的严重缺陷。这些漏洞使成千上万的企业面临被远程黑客入侵的风险。Citrix ADC网关漏洞

思科本周在其Webex和IOS XE软件产品中修复了两个高度严重的漏洞。思科系统公司修复了其产品中的两个高严重性漏洞，其中包括其流行的Webex视频会议平台中的一个漏洞，该漏洞可能使远程攻击者能够执行命令。高度严重的Webex漏洞存在于Cisco Webex Video Mesh的基于Web的管理界面中，该功能可启用用于视频会议的本地基础结构来增强音频，视频和内容。根据本周发布的思科安全公告， “成功的利用可能使攻击者可以在目标节点上以root特权在底层Linux操作系统上执行任意命令。”该忠告指出，尽管攻击者可以远程利用这些缺陷，但仍需要对它们进行

在本文中，我们将引导您逐步了解利用CVE-2019-12750的更复杂方法。这是一个本地特权升级漏洞，会影响Symantec Endpoint Protection。在撰写本文时，本文中描述的利用方法可在所有版本的Windows上使用。受影响的产品Symantec Endpoint Protection v14.x v14.2（RU1）Symantec Endpoint Protection v12.x 12.1（RU6 MP10）Symantec Endpoint Protection小型企业版v12.x 12.1（RU6 MP10c）介绍遵循我们的CVE-2019-12750写作第一部分，内容涉及利用Symantec Endpoint Protection直至Windows 10版本1803的漏洞，我们现在将重点关注最新的Window

恶意应用程序可以利用Symantec Endpoint Protection中的漏洞泄漏特权信息和/或以更高的特权执行代码，从而完全控制受影响的主机。受影响的产品Symantec Endpoint Protection v14.x v14.2（RU1）Symantec Endpoint Protection v12.x 12.1（RU6 MP10）Symantec Endpoint Protection小型企业版v12.x 12.1（RU6 MP10c）简介：漏洞分析–方法论几个月前，当在最新版本的Symantec Endpoint Protection（SEP v14.2 Build 2486）软件中寻找本地特权升级漏洞时，我们遇到了隐藏了几年的漏洞。此外，Windows 10 v1809中引入了有关内核池分配的最新安

0x01 漏洞描述2019年初，我们收到了一新研究人员提交的漏洞报告，此漏洞影响TP-Link TL-WR841N路由器。TL-WR841N是一款廉价（$ 18美元）且在Amazon.com上非常受欢迎的路由器。在提交漏洞时，它是Amazon.com上最畅销的10大路由器之一。作为一种流行的路由器，TP-Link在此设备上发布了数年的更新版本。OpenWRT支持此路由器的旧版本可能是此路由器如此受欢迎的众多原因之一，OpenWRT是嵌入式设备的Linux发行版。Internet上存在许多关于如何为该设备的旧版本设置硬件调试接口的方法指南和教程。但是，由于OpenWRT不再支持该设备的更高版本，因

作者：Branden Lynch（威胁分析师）内容管理框架Drupal最近修复了其核心软件（SA-CORE-2019-003）中的一个漏洞（CVE-2019-6340）。该漏洞被归类为高度关键，将易受攻击的安装暴露于未经身份验证的远程代码执行（RCE）。该漏洞影响Drupal安装的很大一部分，因为它影响广泛安装的RESTful Web服务（其余）模块。具体来说，该漏洞要求满足以下先决条件：Drupal 8.6.x，8.6.10或Drupal 8.5.11启用RESTful Web服务模块此漏洞特别存在于REST API中，该API包括反序列化模块。特别是，LinkItem类（FieldItemBase类的子类）定义了链接字段，该链接字

作者：Suraj Sahu和Jayesh Patel（漏洞研究人员）凭借其开源，功能丰富且用户友好的内容管理系统（CMS），WordPress 为当今网站的近33％提供了支持。这种受欢迎程度也使他们成为明显的网络犯罪目标。它所可能要做的就是一个漏洞，可以立足于网站的敏感数据。过时的网站或使用不安全的第三方插件或组件可能带来的安全问题可能会使情况更加复杂。在2019年2月19日，RIPS Technologies的Simon Scannell 发表了有关WordPress中可能导致远程代码执行（RCE）的核心漏洞的调查结果。这些已分配为CVE-2019-8942和CVE-2019-8943。简而言之，如果成功

作者：David Fiser（高级网络威胁研究人员）WordPress是著名的开源内容管理系统（CMS），用于创建网站和个人博客。估计CMS已被当今所有网站的35％使用，这使其成为威胁参与者的理想目标。该平台的一个弱点是允许攻击者破坏网站的安全性，而这种缺陷是由于网络安全卫生状况不佳而引起的安全性问题所致。对CMS平台的攻击不是新闻，但威胁行动者仍然发现，攻击站点是在组织资产中立足于恶意目的的有效途径。这篇博客文章通过我们在野外观察到的有效负载示例列出了针对WordPress的不同类型的攻击，以及攻击如何利用被黑客入侵的管理员访问权限

Spelevo Exploit Kit是黑客处理的危险武器之一，已发现它创建了许多成人站点并自动将其感染恶意软件。黑客将通过有组织的网络钓鱼策略来分发威胁。Spelevo Exploit Kit攻击的一个显着特征是，最早的攻击是在今年3月被发现的，直到逐渐发展。恶意的成人站点正在通过全球Spelevo漏洞利用工具包攻击进行传播已发现一个经验丰富的黑客组织在危险的全球攻击活动中利用Spelevo Exploit Kit。该恶意软件工具在黑客组织中极受青睐，因为它可以轻松地针对不同的场景和环境进行自定义。当前的重点是创建包含成人内容的黑客控制网站。为了传播威胁，黑

简介SafeBreach Labs研究人员在Acer Quick Access（宏基快速访问）软件中发现一个安全漏洞。本文将证明如何利用该漏洞来实现驻留、防护绕过和权限提升。Acer Quick Access是一款宏基电脑中预装的一项辅助软件,该软件可以快速打开某些相关的功能，如：无线，蓝牙等功能的快速开启和关闭。该软件有时候是以NT AUTHORITY\SYSTEM权限运行的。漏洞漏洞发现最开始，研究人员基于以下假设来攻击Acer Quick Access服务：此类重要的服务都拥有到PC硬件的高级访问权限和进行权限提升的能力。Acer Quick Access服务启动后，以NT AUTHORITY\SYSTEM权限

通过Aliakbar Zahravi最近，我们发现显着的恶意软件活动影响了运行Linux的设备，而该平台仅在今年就已与许多问题作斗争。对检索到的恶意软件样本的进一步分析表明，这些操作与名为Momentum的僵尸网络（以在其通信渠道中找到的图像命名）有关。我们发现了有关僵尸网络当前用于破坏设备并执行分布式拒绝服务（DDoS）攻击的工具和技术的新详细信息。Momentum针对Linux平台采用了各种CPU架构，例如ARM，MIPS，英特尔，摩托罗拉68020等。该恶意软件的主要目的是打开后门并接受命令以对给定目标进行各种类型的DoS攻击。由Momentum僵尸网络分发的

漏洞详情：发行日期：2019年10月14日CVE ID：CVE-2019-14287受影响的版本：= 1.8.28之前的版本https://www.sudo.ws/alerts/minus_1_uid.html 漏洞简介该安全策略绕过漏洞使Linux系统上的用户能够以root用户身份执行命令，而sudoers文件中的用户权限明确阻止了这些命令以root用户身份运行。它可由Runas规范中具有ALL权限的用户执行。这意味着他们可以以系统上的任何或所有用户身份执行命令。因此，这允许用户通过将用户ID（UID）指定为-1或无符号等效值-1 来以root用户身份运行命令和工具：4294967295sudo -u#-1 /usr/bin/id or the unsign