#security
B站这个开盒用户+直接修改生产在页面里引入自己域名下的js让我头皮发麻

https://blog.xpdbk.com/posts/bilibili-2025-1-neibu-hedingben/

#security #动态
省流：CSDN主页疑似被挂马，诱导用户下载exe执行
另外这个钓鱼页面我真的有点蚌埠住
https://mp.weixin.qq.com/s/qQw1DXE25Gkz_P8pEPVaHg

#今天又看了啥 #security
原来 IDA Pro 9.0 beta 的安装包是 子域名枚举 + .DS_Store 路径泄露出来的路径吗（
https://fixupx.com/gmhzxy/status/1822871063795315135

FxTwitter / FixupX

gmh5225 (@gmhzxy)

这是一个常见的.DS_Store 路径泄露缺陷 @HexRaysSA
1. 子域名枚举拿到二级域名 http://out5.hex-rays.com
2. 下载 http://out5.hex-rays.com/.DS_Store 文件
3. 解密 .DS_Store 获取到相对路径 beta90_6ba923

#今天又看了啥 #security #Windows
搜狗输入法0day，绕过锁屏有手就行

搜狗输入法可绕过Window10锁屏，该方法目前仍然有效，且Win11复现成功，有些输入法存在“游戏中心”，有些输入法不存在，应该是版本问题。

https://mp.weixin.qq.com/s/naqT_o6Q-DHU9f6pJffAbg

TL;DR
在锁屏界面切换搜狗输入法，打开虚拟键盘，右键搜狗 logo 进入游戏中心，任意打开游戏弹出网页 QQ 登录界面，使用 QQ 下载拉起资源管理器，cmd 启动！甚至还是 system 权限！

震惊！Windows 2000 锁屏绕过又回来了！

#今天又看了啥 #security #git #CVE
Exploiting CVE-2024-32002: RCE via git clone

A vulnerability in Git that allows RCE during a git clone operation. By crafting repositories with submodules in a specific way, an attacker can exploit symlink handling on case-insensitive filesystems to write files into the .git/ directory, leading to the execution of malicious hooks.

通过以特定的方式使用子模块制作存储库，攻击者可以利用不区分大小写的文件系统上的符号链接处理将文件写入 .git/ 目录，从而导致在 git clone 操作期间恶意钩子执行触发 RCE。

https://amalmurali.me/posts/git-rce/
PoC: https://github.com/amalmurali47/git_rce

amalmurali.me

Exploiting CVE-2024-32002: RCE via git clone

A new RCE in Git caught my attention on a recent security feed, labeled CVE-2024-32002. Given Git’s ubiquity and the widespread use of the clone command, I was instantly intrigued. Could something as routine as cloning a repository really open the door to…

#今天又看了啥 #telegram #security #CVE #XSS
Telegram Web app XSS/Session Hijacking 1-click [CVE-2024–33905]

Attack surface: Telegram Mini Apps
“Telegram Mini Apps are essentially web applications that you can run directly within the Telegram messenger interface. Mini Apps support seamless authorization, integrated crypto and fiat payments (via Google Pay and Apple Pay), tailored push notifications, and more.”
This attack surface also affects web3 users because it handles crypto payments through the TON Blockchain.

Telegram fixed the flaw on March 11th, 2024.
Vulnerable version: Telegram WebK 2.0.0 (486) and below
Fixed version: Telegram WebK 2.0.0 (488)

https://medium.com/@pedbap/telegram-web-app-xss-session-hijacking-1-click-95acccdc8d90

Medium

Telegram Web app XSS/Session Hijacking 1-click

This is the technical write up of a severe vulnerability I reported to Telegram’s Bug Bounty program on March 9th, 2024. 
Telegram fixed…

#security
完全无法想象
省流：Facebook收了一个VPN公司，然后给用户装CA来解密竞争对手的App流量以用作分析。
https://techcrunch.com/2024/03/26/facebook-secret-project-snooped-snapchat-user-traffic/

TechCrunch

Facebook snooped on users' Snapchat traffic in secret project, documents reveal | TechCrunch

A secret program called "Project Ghostbusters" saw Facebook devise a way to intercept and decrypt the encrypted network traffic of Snapchat users to study their behavior.

#今天又看了啥 #security
可怕！虚拟机里点了个链接，物理机居然被黑了！
InstantView from Source

利用了6个2023年的 CVE，组成了一套攻击链，让你在 VMware 虚拟机里的 Chrome 浏览器中点开一个链接，然后外面真实的物理计算机就中招了。

CVE-2023-3079，Chrome V8 JavaScript 引擎漏洞，执行恶意代码；
CVE-2023-21674，本地沙箱提权；
CVE-2023-29360，Windows 操作系统内核驱动程序漏洞，提权到虚拟机高权限；
CVE-2023-34044，获取虚拟机敏感信息；
CVE-2023-20869，利用虚拟机可以共享外面物理机的蓝牙设备，通过虚拟机和外部通信的通道，传递特别构造的数据出来，外部的虚拟机宿主进程处理的时候缓冲区溢出，执行恶意代码；
CVE-2023-36802，Windows 内核驱动程序漏洞，获取外部真实物理机至高权限

Telegraph

可怕！虚拟机里点了个链接，物理机居然被黑了！

大家好，我是轩辕。 试想一个场景：当你在虚拟机中的Chrome浏览器点开一个链接，然后外面的真实电脑就被黑了。 你觉得这可能吗？ 虚拟机大家应该都用过吧，尤其是咱们网络安全从业者，基本上都必不可少的要与虚拟机打交道。 很多时候一些敏感的网址、文件，都不敢在真机上直接点开，而是在虚拟机中点开。这样即便遇到恶意程序，虚拟机重置一下快照就好了。 但你有没有想过，虚拟机也不是固若金汤的，在虚拟机里面点开一个链接，也可能直接让你电脑中招！ 前几天，我在安全大佬tk教主的微博里就看到了这么一个案例。 这是一家韩国安…

acme.sh 发布 3.0.6 版本，修正远程代码执行问题。

我们建议订户尽快更新。

https://github.com/acmesh-official/acme.sh/releases/tag/3.0.6

thread: /4232

#Security #acmesh

GitHub

Release Fix important remote exec bug · acmesh-official/acme.sh

Please all upgrade.
#4659

#今天又看了啥 #security
供应链投毒事件调查：一个免杀爱好者沦为“肉鸡”的全过程！
InstantView from Source

tl;dr
一个所谓的免杀远控工具实际上隐藏了后门木马，本想要控制他人主机反而被本机其中的木马控制，注意小心供应链投毒

Telegraph

供应链投毒事件调查：一个免杀爱好者沦为“肉鸡”的全过程！

收录于合集 #攻击技术 4个

#今天又看了啥 #security #拼多多 #Android
当 App 有了系统权限，真的可以为所欲为？
InstantView from Source

See also:
「 深蓝洞察 」2022 年度最“不可赦”漏洞
拼多多apk内嵌提权代码，及动态下发dex分析

Telegraph

当 App 有了系统权限，真的可以为所欲为？

看到群里发了两篇文章，出于好奇，想看看这些个 App 在利用系统漏洞获取系统权限之后，都干了什么事，于是就有了这篇文章。由于准备仓促，有些 Code 没有仔细看，感兴趣的同学可以自己去研究研究，多多讨论 关于这个 App 是如何获取这个系统权限的，「 深蓝洞察 」2022 年度最 “不可赦” 漏洞 ，这篇文章讲的很清楚，就不再赘述了： Android Framework 中一个核心的对象传递机制是 Parcel， 希望被通过 Parcel 传递的对象需要定义 readFromParcel 和 writeToParcel…

微博网友提到，拼多多已经在更新的 App 中移除了相关提权等代码。

https://weibo.com/1865990891/MvIGECUxX

thread: /4086

#PinDuoDuo #Security

Weibo

据我了解app解压开asset里有一个AliveBas... 来自sunwear - 微博

据我了解。app解压开asset里有一个AliveBaseAbility 就是提权的，vmp加固的。就在今天pdd刚刚更新了，更新后这段就删了。拼多多确实需要国家有关部门大砍一刀， http://t.cn/A6C6PhF2【转发】@：该微博因被投诉违...

chalk 和 chokidar 均为 npm 上著名包。

GitHub 项目 AFFiNE 近日从一个 PR 发现项目开发者曾误引入一个名为 chalk-next 的恶意包（与此 PR 似乎无关），此 chalk-next 包包含尝试收集/检查系统环境变量及删除文件的投毒代码 [1]。有 Twitter 用户分析后提到 [2]，疑似同一位作者还发布了包含类似行为，名为 chokidar-next 的包 [4]。

从 chokidar-next 包作者 [5] 其它包元信息指向的 GitHub 用户来看，这两个包的目的似乎是检测 vue-admin-beautiful 付费版本盗版用户并删除其代码 [6]。

目前 chalk-next 和 chokidar-next 均被标记为 "Security holding package" [7][8]。

1. https://github.com/toeverything/AFFiNE/pull/668
2. https://twitter.com/yihong0618/status/1610919470410928133
3. https://www.npmjs.com/org/chu1204505056
4. web.archive.org/~
5. web.archive.org/~
6. https://github.com/chuzhixin/chalk-next
7. https://www.npmjs.com/package/chalk-next
8. https://www.npmjs.com/package/chokidar-next

#npm #vueadminbeautiful #OpenSource #Ecosystem #SupplyChain #Security

GitHub

Update printer.js by heng1025 · Pull Request #668 · toeverything/AFFiNE

There can be more than Notion and Miro. AFFiNE is a next-gen knowledge base that brings planning, sorting and creating all together. Privacy first, open-source, customizable and ready to use. - Update printer.js by heng1025 · Pull Request #668 · toeverything/AFFiNE

#今天又看了啥 #security
“电幕行动”（Bvp47）技术细节报告（二）——关键组件深度揭秘

追踪Bvp47的过程更像是在摸索一张迷雾下的拼图，在奇安盘古实验室与国家计算机病毒应急处理中心的通力合作下，这份报告将会通过对“饮茶”（Suctionchar_Agent）、Dewdrop、Bvp47_loader等程序和系统模块的技术分析来进一步理解Bvp47这个顶级后门平台的部分工作方式和执行逻辑。

InstantView from Source

See also:
Bvp47-美国NSA方程式组织的顶级后门
关于西北工业大学发现美国NSA网络攻击调查报告（之一）

Telegraph

“电幕行动”（Bvp47）技术细节报告（二）——关键组件深度揭秘

概述

#今天又看了啥 #security #GitLab #CVE

GitLab 远程代码执行漏洞（CVE-2022-2185）：
GitLab社区版(CE)和企业版(EE)中存在一个远程代码执行漏洞，经过身份验证的攻击者通过利用该漏洞导入恶意项目，最终可实现在目标服务器上执行任意代码。CVSS评分为9.9。

GitLab 跨站脚本(XSS)漏洞（CVE-2022-2235）：
GitLab企业版(EE)存在一个XSS漏洞，经过身份验证的攻击者通过诱导用户点击特制的恶意文件可以成功利用该漏洞。CVSS评分为8.7。

GitLab 存储型XSS漏洞（CVE-2022-2230）：
GitLab社区版(CE)和企业版(EE)的设置页面中存在一个存储型的XSS漏洞，拥有高权限的攻击者利用该漏洞可导致以受害者的名义在GitLab中执行任意JavaScript代码。CVSS评分为8.1。

GitLab授权不当漏洞（CVE-2022-2229）：
GitLab社区版(CE)和企业版(EE)的设置页面中存在一个授权不当漏洞，未经身份验证的攻击者可在所属的公共项目或私人项目中提取出攻击者已知名称的，且未受保护变量的值。CVSS评分为7.5。

https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/

http://blog.nsfocus.net/gitlab-202207/

GitLab

GitLab Critical Security Release: 15.1.1, 15.0.4, and 14.10.5

Learn more about GitLab Critical Security Release: 15.1.1, 15.0.4, and 14.10.5 for GitLab Community Edition (CE) and Enterprise Edition (EE).

网络安全公司 GoSecure 称，MFA 疲劳 (MFA Fatigue) 攻击正在影响 Microsoft 365 用户。骇客可以通过不断尝试发送 MFA 验证请求在用户的手机上生成大量验证提示，从而使用户不厌其烦而选择允许授权。

https://www.gosecure.net/blog/2022/02/14/current-mfa-fatigue-attack-campaign-targeting-microsoft-office-365-users/
https://news.ycombinator.com/item?id=30363537

#MFA #Security

GoSecure

Current MFA Fatigue Attack Campaign Targeting Microsoft Office 365 Users - GoSecure

MFA can protect your Office 365 accounts, but attackers are looking to compromise this security feature through new threats such as Push Notification Spamming. Learn more about MFA fatigue and how to mitigate attacks in this article.

有用户发现 [1] AWS 于昨日为 AWSSupportServiceRolePolicy 政策的最新版本 (Version 20) 添加了一系列权限，包括用于获取 S3 中文件内容的 s3:getObject 权限。这可能使用户在 S3 中存储的内容泄露给 AWS 的客户支持人员。

由于 AWS 的 IAM 政策相当复杂，且 Version 20 目前并不是此政策的默认版本，因此本台无法确定此更新对用户数据安全性的影响。如果订户对此有所担忧，请咨询您附近的 AWS 专家或服务人员。

您可以在登录 AWS 控制台后，访问 [2] 查看政策详情。

src: https://t.me/bupt_moe/1383
seealso: https://news.ycombinator.com/item?id=29645462

1. gh:z0ph/MAMIP@9d72709
2. console.aws.amazon.com/~

#AWS #IAM #S3 #Security #Support

消息来源: https://t.me/outvivid/3268

Telegram

bupt.moe

#security #AWS #S3
AWS 用于客户支持角色的 AWSSupportServiceRolePolicy 添加了 s3:getObject 权限，意味着所有AWS客户支持人员可以访问任意AWS的S3 Object。
根据笔者对S3的了解，如果你没有配置 KMS，也没有配置 CloudTrail 日志审计，也没有在其他地方限制对S3的访问（比如IP限制），那么你的S3 Object可以推定泄漏。建议使用S3的各位检查自己的敏感数据。
https://github.com/z0ph/MAMI…