微软修复了可能导致Azure账户被接管的OAuth2.0漏洞;GoAhead web服务器中发现两个严重代码执行漏洞;卡巴斯基、趋势科技和Autodesk产品存在多个安全漏洞;Accusoft ImageGear修复多个远程代码执行漏洞;Avast和AVG浏览器扩展被指控监控用户。
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
这两天有几个比较重要的漏洞和资讯,统一概括一下:
(1)微软修复可接管 Azure 账户的漏洞
微软最近修复了一个 OAuth 2.0 漏洞,它可导致攻击者接管 Azure 账户。CyberArk 公司的研究员发现,该问题影响具体的多款微软 OAuth 2.0 应用程序,可允许攻击者利用用户权限创建令牌。它被命名为“BlackDirecdt”,产生的根源在于,任何人均可注册受 OAuth 应用程序信任的域名和子域名。另外由于这些 app 默认受到许可,且可请求“access_token”,因此攻击者能够获取对 Azure 资源、AD 资源等的访问权限。该漏洞于10月末告知微软,后者于上周修复。
详情可见:
https://www.cyberark.com/threat-research-blog/blackdirect-microsoft-azure-account-takeover/
(2)GoAhead web 服务器中被曝两个严重的代码执行漏洞
思科 Talos 团队的研究员在嵌入式的 GoAhead web 服务器中发现了两个严重的代码执行漏洞,其中包括一个可实现远程代码执行的严重缺陷。GoAhead 声称是“全球最流行的微小嵌入式 web 服务器”,提供开源和企业版本,用于全球数亿台设备中。Shodan 搜索发现了超过130万个联网系统。
这个严重漏洞 (CVE-2019-5096) 和多部分/表单数据请求的处理方式相关。未认证攻击者能够利用该弱点触发释放后使用条件并通过发送特殊构造的 HTTP 请求的方式在服务器上执行任意代码。该漏洞的评分是9.8。第二个漏洞是 CVE-2019-5097,可被攻击者用于引发拒绝服务条件。
研究人员在版本 5.0.1、4.1.1和3.6.5 上复现了这两个漏洞。该漏洞在8月末上报给 EmbedThis,厂商在11月21日修复。
详情可见:
https://blog.talosintelligence.com/2019/12/vulnerability-spotlight-EmbedThis-GoAhead.html
(3)卡巴斯基、趋势科技和Autodesk产品均被曝多个漏洞
SafeBreach 公司表示,卡巴斯基 Secure Connection (KSDE)、趋势科技 Maximum Security 和 Autodesk Desktop Application中被曝多个漏洞,可被用于预加载 DLL、执行代码和提升权限。
KSDE 是一款VPN 客户端,兼容卡巴斯基多款应用,包括 Security Cloud、Internet Security、Anti-Virus、Total Security 和Kaspersky Free,受 CVE-2019-15689 影响,可导致攻击者植入并运行任意签名的可执行文件。这个漏洞类似于此前出现在 McAfee、赛门铁克、Avast 和 Avira中的漏洞。此前的漏洞导致权限进程试图加载不存在于预期位置的库。CVE-2019-15689 漏洞的根源在于对加载的DLL缺少签名验证,相关进程试图仅使用文件名称而非绝对路径加载库。
Autodesk Desktop Application 也试图从 PATH 环境变量中的多个目录中加载缺失的 DLL 文件。攻击者可滥用这一点让签名进程加载恶意库。该漏洞产生的原因是缺少安全的DLL加载,再加上缺少对数字证书的验证。该漏洞编号是 CVE-2019-7365。
趋势科技 Maximum Security 受 CVE-2019-15628 影响,尽管该软件以系统权限运行,但其中一些部分以非 PPL 进程运行,导致攻击者可以加载未签名代码。
目前漏洞均已修复。
具体详情见:
https://safebreach.com/Post/Kaspersky-Secure-Connection-DLL-Preloading-and-Potential-Abuses-CVE-2019-15689
(4)Accusoft ImageGear 修复多个RCE
思科 Talos 团队从文档和图像库 Accusoft ImageGear 中发现多个漏洞,可导致攻击者通过恶意文件在易受攻击机器上远程执行代码。这个库供开发人员构建自定义图像应用程序,包括整个文档成像生命周期,支持 .NET、Java 和 C/C++。
这些漏洞是 CVE-2019-5083(越界写入问题,可通过特殊构造的 TIFF 文件触发远程执行代码,影响 igcore19d.dll TIF_decode_thunderscan函数)、CVE-2019-5076(影响该工具包的 igcore19d.dll PNG 头部解析器。攻击者可使用恶意PNG文件引发界外写入并远程执行代码)、CVE-2019-5132(存在于 ImageGear 的igcore19d.dll GEM Raster 解析器中,要求特殊构造的 GEM 文件在受影响系统执行代码)和 CVE-2019-5133(影响该库的 igcore19d.dll BMP 解析器。定制化的 BMP 文件可触发界外写入,从而执行代码)。
攻击者只需要说服使用易受攻击版本的受害者打开恶意文件即可利用这些漏洞。这些漏洞是从 ImageGear 版本19.3.0中发现的,CVSS 评分为9.8。目前漏洞已修复。
更多详情请见:
https://blog.talosintelligence.com/2019/12/vulnerability-spotlight-accusoft-PNG-dec-19.html
(5)Avast 和 AVG 浏览器扩展被指监控 Chrome 和火狐用户
Avast 及其下属 AVG 提供的四款扩展被指监控 Chrome 和火狐浏览器用户。这四款应用是 Avast Online Security、AVG Online Security、Avast SafePrice 和 AVG SafePrice。它们被指窃取数百万用户的很多信息,包括:
-
用户所在网页的完整 URL,包括查询部分和锚数据
-
扩展追踪使用的 UID信息
-
页面 title
-
推荐引用的 URL
-
用户登录页面的方式,比如直接输入地址还是使用书签或者点击某链接
-
提示用户此前是否访问过某网页的一个值
-
国别代码
-
浏览器名称及其确切的版本号
-
操作系统及其确切的版本号
建议安装这四款扩展的用户立即将其删除。
具体详情见:
https://palant.de/2019/12/03/mozilla-removes-avast-extensions-from-their-add-on-store-what-will-google-do/
推荐阅读
今日安全| Avast 再遭攻击;自动化巨头 Pilz一周后仍未战胜勒索攻击;俄黑客被指借壳伊朗黑客基础设施......
趋势科技反威胁工具集被曝 RCE 漏洞:如文件名是 cmd.exe 或 regedit.exe,则运行恶意软件
BlackHat |微软发布 Azure 安全实验室新测试环境,最高赏30万美元
原文链接
https://www.securityweek.com/microsoft-patches-vulnerability-leading-azure-account-takeover
https://thehackernews.com/2019/12/avast-and-avg-browser-plugins.html
https://www.securityweek.com/critical-code-execution-vulnerability-found-goahead-web-server
https://www.securityweek.com/vulnerabilities-disclosed-kaspersky-trend-micro-products
https://www.securityweek.com/code-execution-vulnerabilities-patched-accusoft-imagegear
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
扫一扫
1219
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
