四月份安全補丁日， Adobe、Apple 和 Microsoft（以及其他公司）已經發(fā)布了最新的安全補丁。

2023 年 4 月的 Adobe 補丁

4 月份，Adobe 發(fā)布了六個公告，解決了 Acrobat 和 Reader、Adobe Digital Editions、InCopy、Substance 3D Designer、Substance 3D Stager 和 Adobe Dimension 中的 56 個 CVE。Reader的更新可能是最重要的。糾正了 16 個不同的 CVE，如果威脅行為者可以讓用戶使用受影響的 Reader 版本打開特制的 PDF，其中 14 個可能會導致任意代碼執(zhí)行。此更新還包括來自 Haboob SA 的 Abdul-Aziz Hariri 的四個 CVE，這是他在最近的 Pwn2Own Vancouver 上成功演示的一部分。

Adobe Digital Edition的補丁糾正了一個嚴重級別的代碼執(zhí)行錯誤。InCopy的修復還解決了一個單獨的關鍵級代碼執(zhí)行問題。其他更新明顯更大。Substance 3D Designer的更新解決了九個錯誤，所有這些錯誤都被評為嚴重。Substance 3D Stager的修復修復了 14 個漏洞，其中 10 個被評為嚴重，可能導致任意代碼執(zhí)行。Adobe 的最終補丁涵蓋了Adobe Dimension并糾正了 15 個獨特的錯誤。這些錯誤中共有 14 個可能導致任意代碼執(zhí)行，另一個是內存泄漏。

Adobe 本月修復的錯誤在發(fā)布時均未被列為眾所周知或受到積極攻擊。Adobe 將這些更新歸類為 3 級部署優(yōu)先級。

2023 年 4 月的 Apple 補丁

Apple 上周和昨天修補了幾個 CVE，涵蓋了兩個受到主動攻擊的漏洞。CVE-2023-28205 是 WebKit 中的一個 UAF，可以在 Safari、macOS 和 iOS 中找到。它可以導致在登錄用戶級別執(zhí)行代碼。需要與特權升級相結合才能接管系統(tǒng)。Apple 修補的第二個漏洞就是這樣做的。CVE-2023-28206 是 macOS 和 iOS 中 IOSurfaceAccelerator 組件中的權限升級。Apple 沒有明確說明這些是結合使用的，但它們是由同一研究人員同時報告的，因此它們的結合使用是有道理的。

微軟 2023 年 4 月補丁

本月，微軟發(fā)布了 97 個新補丁，解決了 Microsoft Windows 和 Windows 組件中的 CVE；辦公室和辦公室組件；Windows Defender的; 共享服務器；Windows 超級 V；PostScript 打印機；和微軟動態(tài)。這是對先前發(fā)布并在今天記錄的三個 Edge（基于 Chromium）CVE 的補充。這使今天的 CVE 總數(shù)達到了 100 個。

本月發(fā)布的修補的漏洞，有 7 個被評為嚴重，90 個被評為重要。雖然這一卷似乎確實與過去幾年持平，但遠程代碼執(zhí)行 (RCE) 錯誤的數(shù)量幾乎占了發(fā)行版的一半。在一個月內看到如此多的 RCE 修復是不尋常的。另外請注意，微軟本月沒有解決在 Pwn2Own Vancouver 期間通過 Teams 披露的任何錯誤。

自從 Microsoft 宣布他們將阻止 Office 文件中的宏以來，Emotet 攻擊者一直在探索分發(fā)惡意文件的替代方法。在最近的活動中，攻擊者采用了一種新策略，即發(fā)送包含惡意 OneNote 文件的垃圾郵件。一旦打開，就會出現(xiàn)一條虛假消息，誘使受害者點擊文檔，下載 Emotet 感染。安裝后，該惡意軟件可以收集用戶電子郵件數(shù)據，例如登錄憑據和聯(lián)系信息。然后，攻擊者使用收集到的信息來擴大活動范圍并促進未來的攻擊。

盡管大型科技公司盡最大努力在最早的時候切斷網絡犯罪分子，但幾乎不可能阻止每一次繞過安全措施的攻擊。我們知道 Emotet 是一種復雜的特洛伊木馬，看到它成功突破 Microsoft 的最新防御也就不足為奇了。人們可以做的最重要的事情是確保他們有適當?shù)碾娮余]件安全措施，避免下載任何意外文件并對電子郵件的來源及其內容持合理的懷疑態(tài)度。

上個月還透露，“Apache Log4j 遠程執(zhí)行代碼”是最常被利用的漏洞，影響了全球 44% 的組織，其次是“HTTP 標頭遠程執(zhí)行代碼”，影響了全球 43% 的組織，“MVPower DVR 遠程執(zhí)行代碼”影響了全球 43% 的組織。全球影響 40%。

頂級惡意軟件家族

*箭頭表示與上個月相比排名的變化。

Qbot是上個月最流行的惡意軟件，對全球組織的影響分別超過 10%，其次是Emotet和Formbook，全球影響為 4%。

• ? Qbot – Qbot 又名 Qakbot 是一種銀行木馬，于 2008 年首次出現(xiàn)。它旨在竊取用戶的銀行憑證或按鍵，通常通過垃圾郵件進行傳播。Qbot 采用多種反虛擬機、反調試和反沙盒技術來阻礙分析和逃避檢測。
• ↑ Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾被用作銀行木馬，但最近被用作其他惡意軟件或惡意活動的分發(fā)者。它使用多種方法來保持持久性和規(guī)避技術以避免被發(fā)現(xiàn)。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
• ↓ FormBook – FormBook 是一種針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強大的規(guī)避技術和相對較低的價格，它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行銷售。Formbook 從各種網絡瀏覽器收集憑證、收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據其 C&C 的命令下載和執(zhí)行文件。
• ↑ AgentTesla – AgentTesla 是一種高級 RAT，充當鍵盤記錄器和信息竊取器，能夠監(jiān)視和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截取屏幕截圖，并將憑證泄露到安裝在受害者機器上的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）。
• ↓ XMRig – XMRig 是用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅行為者經常通過將其集成到他們的惡意軟件中來濫用這種開源軟件，從而在受害者的設備上進行非法挖掘。
• ? GuLoader – Guloader 是一款自 2019 年 12 月以來廣泛使用的下載器。GuLoader 首次出現(xiàn)時用于下載 Parallax RAT，但已應用于其他遠程訪問木馬和信息竊取程序，例如 Netwire、FormBook 和 Agent Tesla .
• ↑ Remcos – Remcos 是一種 RAT，于 2016 年首次出現(xiàn)。Remcos 通過惡意 Microsoft Office 文檔進行自我分發(fā)，這些文檔附加在垃圾郵件中，旨在繞過 Microsoft Windows 的 UAC 安全并以高級權限執(zhí)行惡意軟件。
• ↑ NJRat – NJRat 是一種遠程訪問木馬，主要針對中東的政府機構和組織。該木馬于 2012 年首次出現(xiàn)，具有多種功能：捕獲擊鍵、訪問受害者的攝像頭、竊取存儲在瀏覽器中的憑據、上傳和下載文件、執(zhí)行進程和文件操作以及查看受害者的桌面。NJRat 通過網絡釣魚攻擊和路過式下載感染受害者，并在命令和控制服務器軟件的支持下通過受感染的 USB 密鑰或網絡驅動器進行傳播。
• ? Tofsee – Tofsee 是一個針對 Windows 平臺的 Trickler。該惡意軟件試圖在目標系統(tǒng)上下載并執(zhí)行其他惡意文件。它可能會下載并向用戶顯示圖像文件以隱藏其真實目的。
• ↓ NanoCore ——NanoCore 是一種針對 Windows 操作系統(tǒng)用戶的遠程訪問木馬，于 2013 年首次在野外被發(fā)現(xiàn)。RAT 的所有版本都包含基本的插件和功能，例如屏幕捕獲、加密貨幣挖掘、遠程控制桌面和網絡攝像頭會話盜竊。

全球受攻擊最多的行業(yè)

上個月，教育/研究仍然是全球受攻擊最嚴重的行業(yè)，其次是政府/軍隊，然后是醫(yī)療保健。

• 教育/研究
• 政府/軍隊
• 衛(wèi)生保健

最常被利用的漏洞

上個月，“Apache Log4j 遠程執(zhí)行代碼”是被利用最多的漏洞，影響了全球 44% 的組織，其次是“HTTP 標頭遠程執(zhí)行代碼”，影響了全球 43% 的組織，“MVPower DVR 遠程執(zhí)行代碼”影響了全球的 40%。

• ↑ Apache Log4j 遠程代碼執(zhí)行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。
• ↑ HTTP 標頭遠程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標頭讓客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能會使用易受攻擊的 HTTP 標頭在受害計算機上運行任意代碼。
• ↑MVPower DVR 遠程代碼執(zhí)行——MVPower DVR 設備中存在遠程代碼執(zhí)行漏洞。遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執(zhí)行任意代碼。
• ↑ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。該漏洞又名 Heartbleed，是由于處理 TLS/DTLS 心跳數(shù)據包時出現(xiàn)錯誤造成的。攻擊者可以利用此漏洞泄露連接的客戶端或服務器的內存內容。
• ↓ Web 服務器惡意 URL 目錄遍歷 –在不同的 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤導致的，該錯誤未正確清理目錄遍歷模式的 URI。成功的利用允許未經身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務器上的任意文件。
• ↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統(tǒng)的未授權訪問。
• ? PHP 復活節(jié)彩蛋信息泄露 – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于不正確的 Web 服務器配置造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制 URL 來利用此漏洞。
• ↓ HTTP 上的命令注入（CVE-2021-43936、CVE-2022-24086） ——已報告 HTTP 上的命令注入漏洞。遠程攻擊者可以通過向受害者發(fā)送特制請求來利用此問題。成功的利用將允許攻擊者在目標機器上執(zhí)行任意代碼。
• ↑ D-Link 多個產品遠程代碼執(zhí)行 (CVE-2015-2051) – 多個 D-Link 產品中存在遠程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。
• ↓ WordPress portable-phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統(tǒng)的未授權訪問。

頂級移動惡意軟件

上個月，Ahmyth成為最流行的移動惡意軟件的首位，其次是Anubis和Hiddad。

• AhMyth – AhMyth 是一種遠程訪問木馬 (RAT)，于 2017 年被發(fā)現(xiàn)。它通過可在應用商店和各種網站上找到的 Android 應用進行分發(fā)。當用戶安裝這些受感染的應用程序之一時，惡意軟件可以從設備收集敏感信息并執(zhí)行鍵盤記錄、截屏、發(fā)送短信和激活相機等操作。
• Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自從最初被發(fā)現(xiàn)以來，它已經獲得了額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能和各種勒索軟件功能。已在 Google 商店中提供的數(shù)百種不同應用程序中檢測到它。
• Hiddad – Hiddad 是一種 Android 惡意軟件，它會重新打包合法應用程序，然后將它們發(fā)布到第三方商店。它的主要功能是顯示廣告，但它也可以訪問操作系統(tǒng)內置的關鍵安全細節(jié)。

Check Point 的全球威脅影響指數(shù)及其 ThreatCloud 地圖由 Check Point 的ThreatCloud情報提供支持。ThreatCloud 通過網絡、端點和移動設備提供來自全球數(shù)億個傳感器的實時威脅情報。Check Point Research 是 Check Point Software Technologies 的情報和研究部門，其情報豐富了基于人工智能的引擎和獨家研究數(shù)據。