腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码。

漏洞描述:

腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

因该组件使用极为广泛,利用门槛很低,危害极大,腾讯安全专家建议所有用户尽快升级到安全版本。

漏洞编号:暂缺

漏洞等级:

高危,该漏洞影响范围极广,危害极大。

CVSS评分:10(最高级)

漏洞状态:

 

受影响的版本:

Apache log4j2 2.0 - 2.14.1 版本均受影响。

安全版本:

Apache log4j-2.15.0-rc1

漏洞复现与验证:

腾讯安全专家已第一时间对该漏洞进行复现验证

 漏洞修复方案:

Apache官方已发布补丁,腾讯安全专家建议受影响的用户尽快升级到安全版本。

补丁下载地址:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

漏洞缓解措施:

(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true

(2)log4j2.formatMsgNoLookups=True

腾讯安全解决方案:

腾讯T-Sec Web应用防火墙(WAF)、腾讯T-Sec高级威胁检测系统(NDR、御界)、腾讯T-Sec云防火墙已支持检测拦截利用Log4j2 远程代码执行漏洞的攻击活动。

腾讯T-Sec主机安全(云镜)、腾讯容器安全服务(TCSS)已支持检测企业资产(主机、容器及镜像)是否存在Apache Log4j2远程代码执行漏洞。

自助处置手册:

1. 使用腾讯T-Sec云防火墙防御漏洞攻击

腾讯T-Sec云防火墙已新增虚拟补丁规则支持阻断利用Apache Log4j2远程代码执行漏洞的攻击,客户可以开通腾讯云防火墙高级版进行防御。

在腾讯云控制台界面,打开入侵防御设置即可,腾讯云防火墙的虚拟补丁机制可以有效抵御漏洞利用。

2. 使用腾讯T-Sec Web应用防火墙(WAF)防御漏洞攻击

登录腾讯云Web应用防火墙控制台,依次打开左侧“资产中心-域名列表”,添加域名并开启防护即可。步骤细节如下:

腾讯云Web应用防火墙控制台:资产中心->域名列表,点击添加域名:

SaaS类型域名接入,输入域名,配置端口,源站地址或者域名,点击确定即可,新增之后防护默认打开

负载均衡类型域名接入,输入域名,配置代理,负载均衡监听器,点击确定即可,新增之后防护默认打开

域名列表查看配置,防护开关、回源IP等接入情况,确认接入成功。

3.使用腾讯T-Sec主机安全(云镜)检测修复漏洞。

登录腾讯主机安全控制台,依次打开左侧“漏洞管理”,对扫描到的系统组件漏洞、web应用漏洞、应用漏洞进行排查。步骤细节如下:

主机安全(云镜)控制台:打开漏洞管理->系统漏洞管理,点击一键检测:

查看扫描到的Apache Log4j组件远程代码执行漏洞风险项目:

确认资产存在Apache Log4j组件远程代码执行漏洞风险:

升级Apache Log4j到安全版本

回到主机安全(云镜)控制台再次打开“漏洞管理”,重新检测确保资产不受Apache Log4j组件远程代码执行漏洞影响。

4. 使用腾讯T-Sec容器安全服务检测修复镜像漏洞

登陆腾讯容器安全服务控制台,依次打开左侧“镜像安全”,对本地镜像和仓库镜像进行排查。步骤细节如下:

1)容器安全服务控制台:打开本地镜像/仓库镜像-点击一键检测,批量选择Apache Log4j组件关联镜像,确认一键扫描:

2)扫描完毕,单击详情确认资产存在Apache Log4j组件远程代码执行漏洞风险

3)升级到pache Log4j到安全版本

4)回到容器安全服务控制台再次打开“镜像安全”,重新检测确保资产不受Apache Log4j组件远程代码执行漏洞影响。

腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码。

漏洞描述:

腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

因该组件使用极为广泛,利用门槛很低,危害极大,腾讯安全专家建议所有用户尽快升级到安全版本。

漏洞编号:暂缺

漏洞等级:

高危,该漏洞影响范围极广,危害极大。

CVSS评分:10(最高级)

漏洞状态:

 

受影响的版本:

Apache log4j2 2.0 - 2.14.1 版本均受影响。

安全版本:

Apache log4j-2.15.0-rc1

漏洞复现与验证:

腾讯安全专家已第一时间对该漏洞进行复现验证

 漏洞修复方案:

Apache官方已发布补丁,腾讯安全专家建议受影响的用户尽快升级到安全版本。

补丁下载地址:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

漏洞缓解措施:

(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true

(2)log4j2.formatMsgNoLookups=True

腾讯安全解决方案:

腾讯T-Sec Web应用防火墙(WAF)、腾讯T-Sec高级威胁检测系统(NDR、御界)、腾讯T-Sec云防火墙已支持检测拦截利用Log4j2 远程代码执行漏洞的攻击活动。

腾讯T-Sec主机安全(云镜)、腾讯容器安全服务(TCSS)已支持检测企业资产(主机、容器及镜像)是否存在Apache Log4j2远程代码执行漏洞。

自助处置手册:

1. 使用腾讯T-Sec云防火墙防御漏洞攻击

腾讯T-Sec云防火墙已新增虚拟补丁规则支持阻断利用Apache Log4j2远程代码执行漏洞的攻击,客户可以开通腾讯云防火墙高级版进行防御。

在腾讯云控制台界面,打开入侵防御设置即可,腾讯云防火墙的虚拟补丁机制可以有效抵御漏洞利用。

2. 使用腾讯T-Sec Web应用防火墙(WAF)防御漏洞攻击

登录腾讯云Web应用防火墙控制台,依次打开左侧“资产中心-域名列表”,添加域名并开启防护即可。步骤细节如下:

腾讯云Web应用防火墙控制台:资产中心->域名列表,点击添加域名:

SaaS类型域名接入,输入域名,配置端口,源站地址或者域名,点击确定即可,新增之后防护默认打开

负载均衡类型域名接入,输入域名,配置代理,负载均衡监听器,点击确定即可,新增之后防护默认打开

域名列表查看配置,防护开关、回源IP等接入情况,确认接入成功。

3.使用腾讯T-Sec主机安全(云镜)检测修复漏洞。

登录腾讯主机安全控制台,依次打开左侧“漏洞管理”,对扫描到的系统组件漏洞、web应用漏洞、应用漏洞进行排查。步骤细节如下:

主机安全(云镜)控制台:打开漏洞管理->系统漏洞管理,点击一键检测:

查看扫描到的Apache Log4j组件远程代码执行漏洞风险项目:

确认资产存在Apache Log4j组件远程代码执行漏洞风险:

升级Apache Log4j到安全版本

回到主机安全(云镜)控制台再次打开“漏洞管理”,重新检测确保资产不受Apache Log4j组件远程代码执行漏洞影响。

4. 使用腾讯T-Sec容器安全服务检测修复镜像漏洞

登陆腾讯容器安全服务控制台,依次打开左侧“镜像安全”,对本地镜像和仓库镜像进行排查。步骤细节如下:

1)容器安全服务控制台:打开本地镜像/仓库镜像-点击一键检测,批量选择Apache Log4j组件关联镜像,确认一键扫描:

2)扫描完毕,单击详情确认资产存在Apache Log4j组件远程代码执行漏洞风险

3)升级到pache Log4j到安全版本

4)回到容器安全服务控制台再次打开“镜像安全”,重新检测确保资产不受Apache Log4j组件远程代码执行漏洞影响。

2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML 的远程代码执行漏洞。有攻击者试图通过使用特制的Office文档来利用此漏洞,该漏洞风险为高,腾讯安全已捕获在野利用样本,腾讯安全全系列产品已支持对该漏洞的恶意利用进行检测拦截,建议Windows用户警惕来历不明的文件,避免轻易打开可疑文档。

漏洞详情:

2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML的远程代码执行漏洞。攻击者通过使用特制的Office文档来利用此漏洞,攻击者制作恶意 ActiveX控件,欺骗说服目标用户打开恶意文档。与使用管理用户权限操作的用户相比,帐户配置为在系统上拥有较少用户权限的用户受到的影响较小。

腾讯安全已捕获在野利用,并成功构造漏洞PoC(概念验证代码)验证成功。腾讯安全专家提醒用户小心处置来历不明的文档,Office默认设置“受保护的视图”可以减轻恶意文件风险,建议Windows用户密切关注该漏洞的进一步信息,及时安装安全补丁。

漏洞编号:

CVE-2021-40444

漏洞等级:

高风险,CVSS评分8.8

漏洞状态:

公开披露

POC

EXP

在野利用

已公开

已公开

已公开

已发现


受影响的版本:

漏洞影响包括Windows 7/8/8.1/10,Windows Server 2008/2012/2016/2019/2022等各个主流版本。

漏洞缓解措施:

漏洞暂无补丁,为0day状态。腾讯安全专家提醒用户小心处置来历不明的文档,Office默认设置“受保护的视图”可以减轻恶意文件风险。

默认情况下,Microsoft Office 在保护视图或打开来自 Internet 的文档警告,这两者都可以防止当前的攻击。

在 Internet Explorer 中禁用所有 ActiveX 控件的安装可以减轻这种攻击。可以通过更新注册表为所有站点完成。先前安装的 ActiveX 控件将继续运行,但不会暴露此漏洞。

可以通过编辑注册表禁用ActiveX 控件的安装:

将以下内容粘贴到文本文件中并使用 .reg 文件扩展名保存,然后双击导入注册表,重启系统后生效。

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1001"=dword:00000003

"1004"=dword:00000003

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1001"=dword:00000003

"1004"=dword:00000003

 

腾讯安全解决方案:

·  腾讯高级威胁检测系统(NTA,御界)规则库日期2021.9.9之后的版本已支持检测利用Windows MSHTML 远程代码执行漏洞(CVE-2021-40444)的攻击;

image.png

·  腾讯主机安全(云镜)漏洞库日期2021.9.9之后的版本已支持检测Windows MSHTML 远程代码执行漏洞风险;

·  腾讯零信任无边界访问控制系统(iOA)、腾讯电脑管家均已支持在终端系统检测拦截利用Windows MSHTML 远程代码执行漏洞的攻击。

image.png

腾讯iOA检测到漏洞攻击

 

image.pngimage.png

腾讯电脑管家拦截到漏洞攻击

时间线:

2021.9.7,微软官方发布风险通告;

2021.9.8,腾讯安全发布风险通告;

2021.9.9,漏洞POC、EXP及在野攻击样本均已出现。腾讯安全全系列产品支持对该漏洞的恶意利用进行检测拦截。

参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML 的远程代码执行漏洞。有攻击者试图通过使用特制的Office文档来利用此漏洞,该漏洞风险为高,腾讯安全已捕获在野利用样本,腾讯安全全系列产品已支持对该漏洞的恶意利用进行检测拦截,建议Windows用户警惕来历不明的文件,避免轻易打开可疑文档。

漏洞详情:

2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML的远程代码执行漏洞。攻击者通过使用特制的Office文档来利用此漏洞,攻击者制作恶意 ActiveX控件,欺骗说服目标用户打开恶意文档。与使用管理用户权限操作的用户相比,帐户配置为在系统上拥有较少用户权限的用户受到的影响较小。

腾讯安全已捕获在野利用,并成功构造漏洞PoC(概念验证代码)验证成功。腾讯安全专家提醒用户小心处置来历不明的文档,Office默认设置“受保护的视图”可以减轻恶意文件风险,建议Windows用户密切关注该漏洞的进一步信息,及时安装安全补丁。

漏洞编号:

CVE-2021-40444

漏洞等级:

高风险,CVSS评分8.8

漏洞状态:

公开披露

POC

EXP

在野利用

已公开

已公开

已公开

已发现


受影响的版本:

漏洞影响包括Windows 7/8/8.1/10,Windows Server 2008/2012/2016/2019/2022等各个主流版本。

漏洞缓解措施:

漏洞暂无补丁,为0day状态。腾讯安全专家提醒用户小心处置来历不明的文档,Office默认设置“受保护的视图”可以减轻恶意文件风险。

默认情况下,Microsoft Office 在保护视图或打开来自 Internet 的文档警告,这两者都可以防止当前的攻击。

在 Internet Explorer 中禁用所有 ActiveX 控件的安装可以减轻这种攻击。可以通过更新注册表为所有站点完成。先前安装的 ActiveX 控件将继续运行,但不会暴露此漏洞。

可以通过编辑注册表禁用ActiveX 控件的安装:

将以下内容粘贴到文本文件中并使用 .reg 文件扩展名保存,然后双击导入注册表,重启系统后生效。

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1001"=dword:00000003

"1004"=dword:00000003

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1001"=dword:00000003

"1004"=dword:00000003

 

腾讯安全解决方案:

·  腾讯高级威胁检测系统(NTA,御界)规则库日期2021.9.9之后的版本已支持检测利用Windows MSHTML 远程代码执行漏洞(CVE-2021-40444)的攻击;

image.png

·  腾讯主机安全(云镜)漏洞库日期2021.9.9之后的版本已支持检测Windows MSHTML 远程代码执行漏洞风险;

·  腾讯零信任无边界访问控制系统(iOA)、腾讯电脑管家均已支持在终端系统检测拦截利用Windows MSHTML 远程代码执行漏洞的攻击。

image.png

腾讯iOA检测到漏洞攻击

 

image.pngimage.png

腾讯电脑管家拦截到漏洞攻击

时间线:

2021.9.7,微软官方发布风险通告;

2021.9.8,腾讯安全发布风险通告;

2021.9.9,漏洞POC、EXP及在野攻击样本均已出现。腾讯安全全系列产品支持对该漏洞的恶意利用进行检测拦截。

参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

万物互联的时代,数据作为一种生产要素,为数字经济发展注入了新的动能。数据要素在驱动经济发展之时,其安全性也成为了重要命题。

国家相继出台《密码法》、《商用密码应用安全性评估管理办法》等一系列法律法规,都对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范,密码测评作为密码合规的重要工作项受到各行业广泛关注。

为解决密评合规难题,腾讯安全推出一站式商用密码合规解决方案。方案依托合规密码服务中台架构,提供极简密码应用一体化服务,缩短开发周期;创新面应用改造数据库加密方案,降低整体开发成本。

目前方案已经支撑腾讯政务云、金融云、企业微信、WeCity、健康码等应用实践案例。

3a0000d9f59d19ba40a7e3edfd6bbb5d.jpg

万物互联的时代,数据作为一种生产要素,为数字经济发展注入了新的动能。数据要素在驱动经济发展之时,其安全性也成为了重要命题。

国家相继出台《密码法》、《商用密码应用安全性评估管理办法》等一系列法律法规,都对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范,密码测评作为密码合规的重要工作项受到各行业广泛关注。

为解决密评合规难题,腾讯安全推出一站式商用密码合规解决方案。方案依托合规密码服务中台架构,提供极简密码应用一体化服务,缩短开发周期;创新面应用改造数据库加密方案,降低整体开发成本。

目前方案已经支撑腾讯政务云、金融云、企业微信、WeCity、健康码等应用实践案例。

3a0000d9f59d19ba40a7e3edfd6bbb5d.jpg

腾讯安全检测到有网络黑产利用微软9月份和3月份已修复的两个IE 高危漏洞构造恶意广告页面挂马攻击,当存在漏洞的系统访问攻击者恶意构造的页面时,会触发恶意代码执行,之后下载Magniber勒索软件。

Magniber勒索病毒以前重点目标是韩国,目前已扩散到亚洲其他国家或地区,该团伙擅长利用浏览器组件相关的漏洞工具包攻击传播,主要通过恶意广告链分发。勒索病毒运行时,会加密文件,删除磁盘卷影,弹出勒索通知,被加密的文件无密钥暂不能解密,广告页面挂马攻击可能影响政企机构和个人电脑系统。

腾讯安全截获的最新样本利用了两个IE相关高危漏洞构造挂马网页传播,存在漏洞的系统打开广告页面即会运行恶意代码,下载勒索软件。编号为CVE-2021-40444的MSHTML远程代码执行漏洞为微软9月份公告修复,漏洞评分8.8,为严重级别。另一个挂马攻击样本利用了今年3月微软修复的IE内存损坏漏洞(CVE-2021-26411),漏洞评分8.8。两个漏洞通告修复时,均已检测到黑客恶意利用,漏洞详细利用方法也已在互联网上公开。

腾讯零信任iOA、腾讯电脑管家均已支持检测拦截利用IE漏洞攻击的挂马网页,相关恶意病毒样本均支持查杀。

腾讯零信任iOA拦截到利用IE漏洞攻击

查杀Magniber勒索病毒文件

腾讯安全专家建议用户修复已知漏洞,避免遭遇网络黑产攻击,推荐使用Windows 更新或腾讯零信任iOA、腾讯电脑管家的漏洞修复功能安装补丁。

对已经不幸中招的用户,可以通过腾讯零信任iOA、腾讯电脑管家内置的文档守护者恢复文件。

参考资料:

https://zhuanlan.zhihu.com/p/40447171

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26411

腾讯安全检测到有网络黑产利用微软9月份和3月份已修复的两个IE 高危漏洞构造恶意广告页面挂马攻击,当存在漏洞的系统访问攻击者恶意构造的页面时,会触发恶意代码执行,之后下载Magniber勒索软件。

Magniber勒索病毒以前重点目标是韩国,目前已扩散到亚洲其他国家或地区,该团伙擅长利用浏览器组件相关的漏洞工具包攻击传播,主要通过恶意广告链分发。勒索病毒运行时,会加密文件,删除磁盘卷影,弹出勒索通知,被加密的文件无密钥暂不能解密,广告页面挂马攻击可能影响政企机构和个人电脑系统。

腾讯安全截获的最新样本利用了两个IE相关高危漏洞构造挂马网页传播,存在漏洞的系统打开广告页面即会运行恶意代码,下载勒索软件。编号为CVE-2021-40444的MSHTML远程代码执行漏洞为微软9月份公告修复,漏洞评分8.8,为严重级别。另一个挂马攻击样本利用了今年3月微软修复的IE内存损坏漏洞(CVE-2021-26411),漏洞评分8.8。两个漏洞通告修复时,均已检测到黑客恶意利用,漏洞详细利用方法也已在互联网上公开。

腾讯零信任iOA、腾讯电脑管家均已支持检测拦截利用IE漏洞攻击的挂马网页,相关恶意病毒样本均支持查杀。

腾讯零信任iOA拦截到利用IE漏洞攻击

查杀Magniber勒索病毒文件

腾讯安全专家建议用户修复已知漏洞,避免遭遇网络黑产攻击,推荐使用Windows 更新或腾讯零信任iOA、腾讯电脑管家的漏洞修复功能安装补丁。

对已经不幸中招的用户,可以通过腾讯零信任iOA、腾讯电脑管家内置的文档守护者恢复文件。

参考资料:

https://zhuanlan.zhihu.com/p/40447171

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26411

腾讯安全检测到有网络黑产利用微软9月份和3月份已修复的两个IE 高危漏洞构造恶意广告页面挂马攻击,当存在漏洞的系统访问攻击者恶意构造的页面时,会触发恶意代码执行,之后下载Magniber勒索软件。

Magniber勒索病毒以前重点目标是韩国,目前已扩散到亚洲其他国家或地区,该团伙擅长利用浏览器组件相关的漏洞工具包攻击传播,主要通过恶意广告链分发。勒索病毒运行时,会加密文件,删除磁盘卷影,弹出勒索通知,被加密的文件无密钥暂不能解密,广告页面挂马攻击可能影响政企机构和个人电脑系统。

腾讯安全截获的最新样本利用了两个IE相关高危漏洞构造挂马网页传播,存在漏洞的系统打开广告页面即会运行恶意代码,下载勒索软件。编号为CVE-2021-40444的MSHTML远程代码执行漏洞为微软9月份公告修复,漏洞评分8.8,为严重级别。另一个挂马攻击样本利用了今年3月微软修复的IE内存损坏漏洞(CVE-2021-26411),漏洞评分8.8。两个漏洞通告修复时,均已检测到黑客恶意利用,漏洞详细利用方法也已在互联网上公开。

腾讯零信任iOA、腾讯电脑管家均已支持检测拦截利用IE漏洞攻击的挂马网页,相关恶意病毒样本均支持查杀。

图片1.png 

腾讯零信任iOA拦截到利用IE漏洞攻击

1636616510894487.png 

查杀Magniber勒索病毒文件

腾讯安全专家建议用户修复已知漏洞,避免遭遇网络黑产攻击,推荐使用Windows 更新或腾讯零信任iOA、腾讯电脑管家的漏洞修复功能安装补丁。

对已经不幸中招的用户,可以通过腾讯零信任iOA、腾讯电脑管家内置的文档守护者恢复文件。 

1636616576463826.png 

参考资料:

https://zhuanlan.zhihu.com/p/40447171

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26411

腾讯安全检测到有网络黑产利用微软9月份和3月份已修复的两个IE 高危漏洞构造恶意广告页面挂马攻击,当存在漏洞的系统访问攻击者恶意构造的页面时,会触发恶意代码执行,之后下载Magniber勒索软件。

Magniber勒索病毒以前重点目标是韩国,目前已扩散到亚洲其他国家或地区,该团伙擅长利用浏览器组件相关的漏洞工具包攻击传播,主要通过恶意广告链分发。勒索病毒运行时,会加密文件,删除磁盘卷影,弹出勒索通知,被加密的文件无密钥暂不能解密,广告页面挂马攻击可能影响政企机构和个人电脑系统。

腾讯安全截获的最新样本利用了两个IE相关高危漏洞构造挂马网页传播,存在漏洞的系统打开广告页面即会运行恶意代码,下载勒索软件。编号为CVE-2021-40444的MSHTML远程代码执行漏洞为微软9月份公告修复,漏洞评分8.8,为严重级别。另一个挂马攻击样本利用了今年3月微软修复的IE内存损坏漏洞(CVE-2021-26411),漏洞评分8.8。两个漏洞通告修复时,均已检测到黑客恶意利用,漏洞详细利用方法也已在互联网上公开。

腾讯零信任iOA、腾讯电脑管家均已支持检测拦截利用IE漏洞攻击的挂马网页,相关恶意病毒样本均支持查杀。

图片4.png 

腾讯零信任iOA拦截到利用IE漏洞攻击

 1636616643196093.png

查杀Magniber勒索病毒文件

腾讯安全专家建议用户修复已知漏洞,避免遭遇网络黑产攻击,推荐使用Windows 更新或腾讯零信任iOA、腾讯电脑管家的漏洞修复功能安装补丁。

对已经不幸中招的用户,可以通过腾讯零信任iOA、腾讯电脑管家内置的文档守护者恢复文件。

1636616668125079.png

参考资料:

https://zhuanlan.zhihu.com/p/40447171

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26411

腾讯安全检测到有网络黑产利用微软9月份和3月份已修复的两个IE 高危漏洞构造恶意广告页面挂马攻击,当存在漏洞的系统访问攻击者恶意构造的页面时,会触发恶意代码执行,之后下载Magniber勒索软件。

Magniber勒索病毒以前重点目标是韩国,目前已扩散到亚洲其他国家或地区,该团伙擅长利用浏览器组件相关的漏洞工具包攻击传播,主要通过恶意广告链分发。勒索病毒运行时,会加密文件,删除磁盘卷影,弹出勒索通知,被加密的文件无密钥暂不能解密,广告页面挂马攻击可能影响政企机构和个人电脑系统。

腾讯安全截获的最新样本利用了两个IE相关高危漏洞构造挂马网页传播,存在漏洞的系统打开广告页面即会运行恶意代码,下载勒索软件。编号为CVE-2021-40444的MSHTML远程代码执行漏洞为微软9月份公告修复,漏洞评分8.8,为严重级别。另一个挂马攻击样本利用了今年3月微软修复的IE内存损坏漏洞(CVE-2021-26411),漏洞评分8.8。两个漏洞通告修复时,均已检测到黑客恶意利用,漏洞详细利用方法也已在互联网上公开。

腾讯零信任iOA、腾讯电脑管家均已支持检测拦截利用IE漏洞攻击的挂马网页,相关恶意病毒样本均支持查杀。

图片1.png 

腾讯零信任iOA拦截到利用IE漏洞攻击

1636616510894487.png 

查杀Magniber勒索病毒文件

腾讯安全专家建议用户修复已知漏洞,避免遭遇网络黑产攻击,推荐使用Windows 更新或腾讯零信任iOA、腾讯电脑管家的漏洞修复功能安装补丁。

对已经不幸中招的用户,可以通过腾讯零信任iOA、腾讯电脑管家内置的文档守护者恢复文件。 

1636616576463826.png 

参考资料:

https://zhuanlan.zhihu.com/p/40447171

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26411

腾讯安全检测到有网络黑产利用微软9月份和3月份已修复的两个IE 高危漏洞构造恶意广告页面挂马攻击,当存在漏洞的系统访问攻击者恶意构造的页面时,会触发恶意代码执行,之后下载Magniber勒索软件。

Magniber勒索病毒以前重点目标是韩国,目前已扩散到亚洲其他国家或地区,该团伙擅长利用浏览器组件相关的漏洞工具包攻击传播,主要通过恶意广告链分发。勒索病毒运行时,会加密文件,删除磁盘卷影,弹出勒索通知,被加密的文件无密钥暂不能解密,广告页面挂马攻击可能影响政企机构和个人电脑系统。

腾讯安全截获的最新样本利用了两个IE相关高危漏洞构造挂马网页传播,存在漏洞的系统打开广告页面即会运行恶意代码,下载勒索软件。编号为CVE-2021-40444的MSHTML远程代码执行漏洞为微软9月份公告修复,漏洞评分8.8,为严重级别。另一个挂马攻击样本利用了今年3月微软修复的IE内存损坏漏洞(CVE-2021-26411),漏洞评分8.8。两个漏洞通告修复时,均已检测到黑客恶意利用,漏洞详细利用方法也已在互联网上公开。

腾讯零信任iOA、腾讯电脑管家均已支持检测拦截利用IE漏洞攻击的挂马网页,相关恶意病毒样本均支持查杀。

图片4.png 

腾讯零信任iOA拦截到利用IE漏洞攻击

 1636616643196093.png

查杀Magniber勒索病毒文件

腾讯安全专家建议用户修复已知漏洞,避免遭遇网络黑产攻击,推荐使用Windows 更新或腾讯零信任iOA、腾讯电脑管家的漏洞修复功能安装补丁。

对已经不幸中招的用户,可以通过腾讯零信任iOA、腾讯电脑管家内置的文档守护者恢复文件。

1636616668125079.png

参考资料:

https://zhuanlan.zhihu.com/p/40447171

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26411