1. Windows 错误报告服务漏洞允许攻击者提升权限(CVE‑2026‑20817)
一个影响 Windows Error Reporting(WER)服务 的严重本地权限提升漏洞 CVE‑2026‑20817 被披露。该漏洞允许具有普通用户权限的攻击者提升到 SYSTEM 级别权限,从而可能完全控制受影响系统。WER 是 Windows 中处理错误报告的重要后台服务,运行在 NT AUTHORITY\SYSTEM 级别,并通过 ALPC(Advanced Local Procedure Call,本地进程通信)端口接受请求。
漏洞的核心在于服务在处理客户端创建进程请求时未对调用者权限进行充分检查,这使得攻击者可以发送精心构造的消息,在没有正确权限验证的情况下生成新的 SYSTEM 权限进程。
具体来说,该漏洞出现在 WER 服务的内部函数处理中。攻击者能够利用不安全的 ALPC 通信,通过控制共享内存里构造的命令行参数,触发调用 CreateElevatedProcessAsUser 等高权限进程创建路径,让 WerFault.exe 这类正常执行程序带着 SYSTEM 权限启动并执行攻击者控制的操作。
分析表明,漏洞核心模块如 UserTokenUtility 会基于 WER 的 SYSTEM Token 创建新的令牌,并保留诸如 SeDebugPrivilege、SeImpersonatePrivilege、SeBackupPrivilege 等高权限。这些权限在渗透测试等安全评估场景中至关重要,但也意味着它们足以被攻击者用于凭证窃取、内核调试、绕过安全措施,甚至完全控制系统。
微软在 2026 年 1 月的补丁中修复了这个漏洞,但修复方式较为极端 —— 直接禁用了导致风险的功能,而不是添加完整的权限检查逻辑。研究人员指出,这通常意味着该功能原本不应对外部 API 暴露。由于漏洞的利用链条相对简单且攻击复杂度低,该问题被标记为“更有可能被利用”,组织应尽快应用补丁。
未及时修复的环境应加强对异常 WerFault.exe 或 WerMgr.exe 进程创建行为的监控,对拥有 SYSTEM Token 的进程异常活动提高警惕。这一设计缺陷也再次强调了在高权限服务中实施严格授权检查的重要性。
总结来说,CVE‑2026‑20817 是一个高危的本地权限提升漏洞,影响 Windows 的错误报告服务,可能允许低权限用户获得系统级控制权限。在补丁发布后,已有 PoC(概念验证)代码被公开,企业需要迅速部署补丁并加强本地权限提升攻击的检测。
2. Linux 工具中植入恶意代码的供应链安全风险
在 Linux 工具链中广泛使用的 xz 压缩工具及库(尤其版本 5.6.0 和 5.6.1) 中被发现恶意代码注入。这种恶意植入可导致未经授权的访问,并存在极高的安全风险。xz 工具是用于压缩和解压数据的重要基础组件,几乎存在于所有主流 Linux 发行版中,因此其安全性至关重要。
安全研究人员发现,这次恶意代码并非明显可见,而是通过高度混淆的宏和构建流程隐藏在完整的软件包中,并在编译期间生成隐藏的恶意功能。这些恶意代码最终会干扰 sshd 的认证流程(通过 systemd),从而可能使攻击者绕过正常的 SSH 身份验证机制,直接获得完整的远程访问权限。
鉴于 SSH 是 Linux 系统远程管理的基础协议,一旦 SSH 身份验证被破坏,就意味着攻击者几乎能无限制访问和控制目标系统。
Red Hat 的公告指出,恶意代码主要出现在 Fedora Rawhide 和 Fedora Linux 40 beta 构建版本中,未影响到 Red Hat Enterprise Linux(RHEL)正式版,但也确认 Debian 不稳定版和部分 openSUSE 发行版的构建环境进行了受影响的包生成。因此,管理员需要特别关注这些版本的部署和更新情况。由于 xz 工具的广泛性,这类供应链风险能对整个 Linux 生态系统产生深远的影响。
针对这一问题,Red Hat 强烈建议立即停止使用受影响版本的 Linux 发布版本,并将 xz 降级到已知安全的 5.4.x 版本。安全团队还应扫描基础设施中可能存在的受影响版本,并尽快将其替换或重新构建,以防止攻击者利用该恶意代码进行入侵或横向移动。
此外,这一事件再次凸显了软件供应链安全的重要性——不仅仅是部署安全补丁,还需要对构建工具和第三方组件的完整性实施严格验证。
总的来说,这起事件是软件供应链威胁的典型案例,恶意代码悄然植入基础组件构建流程,可能导致严重的远程访问安全风险。Linux 社区和系统管理员需要改进对构建和发布包的验证措施,并及时响应供应链安全通告。
3. 银狐针对日本企业的税务主题鱼叉式钓鱼活动
Silver Fox 高级威胁组织近期发起了针对日本企业的税务主题钓鱼攻击活动。该组织利用企业税季的敏感时机,通过高度定制化的钓鱼邮件施加攻击。Silver Fox 自 2023 年起活跃,原本主要针对中文环境用户,但随着其行动的发展,攻击范围已扩展至日本、东南亚乃至北美等地区。
这次活动主要针对制造业和其他行业企业。攻击者在邮件主题和内容上进行了深入的侦察和伪造,使其看起来像是内部财务、税务或人力资源相关的正常通信。邮件通常包含受害公司名称,并指向伪装成看似合法的链接或附件。
一旦用户点击这些链接或下载附件,很可能触发恶意文件的下载。研究人员指出,这些链接往往托管于知名的公共文件分享服务上,例如 gofile[.]io 或 WeTransfer。这种做法增加了钓鱼页面的欺骗性,并使其更难被自动化安全系统识别。
这些邮件载有恶意执行文件或者诱导受害者下载包含恶意软件的压缩文件。常见的恶意载荷是 ValleyRAT 这一远程访问木马。一旦安装,ValleyRAT 会在受感染系统上保持持久化存在,使攻击者能够窃取敏感信息、监视用户活动、远程控制机器并展开后续攻击。因为该木马具备持久化特性,它可以在系统重启后继续运行,增加了清除感染的难度。
Silver Fox 的攻击不仅仅是随机大规模轰炸,而是经过了针对性的侦察 —— 攻击者获取员工名单、CEO 名字等信息,并将这些细节用于伪造专业可信的邮件发送者和主题。这种社会工程学的成熟程度,使得攻击很难通过简单的邮件过滤规则或传统沙箱检测机制阻挡。
安全分析师建议,在执行任何涉及薪资变化、税务罚款或人事更新的操作前,应通过其他通信渠道双重验证发件人身份,以及检查邮件地址是否与显示名称匹配等。这种针对性的高级持续性威胁(APT)活动提醒我们,在复杂的网络安全环境中,仅依靠技术防御是不够的,持续的员工安全意识培训同样至关重要。
总结来说,Silver Fox 针对日本企业的钓鱼活动说明了 APT 级别威胁能巧妙利用业务周期和高度定制邮件进行社会工程攻击,突出了在现代企业防护中加强邮件安全、员工培训和针对性威胁检测的重要性。
发表于 5 天前
|
查看: 44|
回复: 0
