adobe reader 自动关闭_威胁情报 | Microsoft & Adobe超过140个漏洞进行了更新

2月份的”周二补丁日“ 带来了微软和Adobe的一系列更新，每个更新都发布了影响其各自产品的70多个漏洞的更新。 是的，没错，总共超过140个漏洞。

Microsoft发布了77个CVE补丁以及三个建议，影响了其产品组合中广泛部署的产品，包括Internet Explorer，Edge，Exchange Sever，Windows，Office，.Net Framework等。从优先级考虑，最应该是修补Windows DHCP服务器远程执行代码漏洞(CVE-2019-0626)。如果被利用，内存损坏错误将授予域管理员权限，允许访问域用户凭证。攻击者可以在DHCP服务器上运行任意代码。公开披露的Microsoft Exchange Server特权提升漏洞(CVE-2019-0686)会造成允许攻击者访问用户的邮箱的可能。虽然没有已知的公共漏洞，但此补丁还是应视为高的优先级处理。紧急修补的另一个考虑因素是Internet Explorer信息泄露漏洞(CVE-2019-0676)。此漏洞已被用于定位易受攻击的系统。该漏洞可能会造成允许攻击者检查受害者硬盘上的特定文件。

Adobe发布了Acrobat和Reader，Cold Fusion，Flash和Adobe Creative Cloud Desktop Application的更新。 Adobe发布了一个更新，解决了零日Adobe Reader漏洞，该漏洞若被利用，将允许恶意制作的PDF文档回联到攻击者的服务器，并以SMB请求的形式通过受害者的NTLM哈希发送给远程攻击者。 在Adobe推出修复程序之前，此漏洞已被公开披露，包括复现该攻击的方法。

FortiGuard提供以下签名：Adobe.Reader.XFA.NTLM.Information.Disclosure

微软全部更新，请查看以下链接：

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

   应用漏洞/IPS   

 Bladabindi.Botnet

Bladabindi(别称为njRAT，njWorm)是一种多产且具有破坏性的蠕虫病毒，早在2012年就已存在。在录的有一次感染受害者数量达数百万的情况。 众所周知，此恶意软件会为受感染的计算机创建后门程序，记录用户键盘输入，捕获网络摄像头镜头以及窃取凭据。 Bladabindi通过毫无防备的后台自动下载，社交工程或受感染的USB驱动器进行传播。

2018年末，发布过有关此恶意软件更新版本的详细信息。 据记载，它使用AutoIT和无文件技术来实现其攻击的持久性和规避。 为此，它将一个Base64编码值存储在一个注册表项上，该注册表项将作为PowerShell上的命令自动运行。 运行后，PowerShell将使用自反注入加载并运行恶意代码。 恶意软件使用的另一个技巧是注入PowerShell进程的有效载荷是.NET编译的，并使用商业软件进行混淆。 恶意软件还广泛使用动态DNS系统来避免检测。

此签名上检测到的实例呈大规模增长。

特征：Bladabindi.Botnet 

WordPress.Web.API.Endpoint.Privilege.Escalation

WordPress版本4.7.0和4.7.1容易受到WordPress REST API中的内容注入漏洞的攻击。 默认情况下，此功能已启用，这使得WordPress的任何默认安装都会自动受到攻击。

问题的核心在于处理API参数时出现类型混淆跳跃(type-juggling)的问题， 一系列问题导致了这个漏洞。 首先，优先级背后的逻辑存在缺陷。 这导致请求参数被不正确地处理的可能性。 其次，数据清理逻辑允许用户潜在地绕过权限检查。 如果绕过，则用户可以在未事先获得权限的情况下更新项目。 如果被利用，未经身份验证的攻击者可以通过REST API操纵有效载荷，其控制的内容修改页面。

此漏洞已在WordPress版本4.7.2中修补，并分配了CVE-2017-1001000。

特征：WordPress.Web.API.Endpoint.Privilege.Escalation 

  恶意软件活动    

 老机器程序被授予新的技能

FortiGuard实验室注意到了臭名昭着的TrickBot银行特洛伊木马的最新发展。 本周早些时候，研究人员发布了有关TrickBot恶意软件新功能发现的详细信息 - 它现在具有远程窃取密码的更新功能。

TrickBot是一种恶意软件，属于有经济利益驱动的APT TA505，是一种众所周知的银行特洛伊木马。 早在2018年11月，FortiGuard威胁研究与响应实验室发布了一篇博客内容(TrickBot New Module pwgrab的深度分析)，详细介绍了一个名为pwgrab的特定TrickBot模块的研究。 众所周知，TrickBot使用带有恶意Excel附件的网络钓鱼活动来定位其受害者，这个更新版本在这方面没有任何意外。 用户打开恶意Excel附件并启用内容后，VBA脚本将下载TrickBot。但是，这个新的变种确实有一些新技巧。

具体来说，这个新变种有三个允许凭证窃取远程桌面访问工具的功能。 每个功能对应一个已知平台：RDP，PuTTy和VNC。 运行时，这些函数会尝试从列出的平台窃取凭据。 如果获取凭证并成功发送到命令与控制(C2)服务器，则攻击者可以在受害者计算机上获得远程桌面访问功能。

这是另一个案例，展示了多产和持久恶意软件背后的不断发展，以提升其能力并避免被发现。 FortiGuard实验室对已知的IOC进行了适当的检测。

特征: W32/TrickBot.BL!tr 

感染指征(IOCs)：
hxxp://gdbonsdias.com/pro.ime
hxxp://hy-cosmetics.com/pro.ime

DanaBot更新了新的C2通信

FortiGuard实验室在研究DanaBot银行木马时发现了新的更新。 本周早些时候，研究人员发布了一篇博客，详细介绍了DanaBot的最新进展。

众所周知，DanaBot是一种复杂的银行木马。 这个僵尸网络最初是在2018年年中发布的，作为针对澳大利亚受害者的恶意垃圾邮件活动。 这样的邮件中包含恶意DOC附件，当使用启用内容运行时，将从C2下载一个或多个恶意可执行文件。 受感染的受害者可能其登录信息，设备信息以及银行加密凭证和密钥被窃取；也可能被显示在银行网站上进行注入，并且受害者的设备容易被远程访问。

从那时起，DanaBot似乎已经更新了其通信协议，并在欧洲的许多国家范围传播，美国也被检测发现。在这些更新中添加了恶意插件，使受害者的机器成为垃圾邮件发送端。 最新的更新似乎只是通过参与了波兰的恶意垃圾邮件传播活动。对此恶意软件的更新发现了通信协议中的多个加密层，用于部署DanaBot的体系结构的更改以及命令和标识符的更改。

DanaBot的持续持续表明恶意软件不断更新以避免基于网络的检测。我们必须继续监控和跟踪这些系列以保持最新状态，而多层安全防御方法绝对至关重要。

特征：W32/Danabot.I!tr.spy, W32/Danabot.F!tr.spy, W32/Danabot.O!tr 

  网页过滤活动    

Qealler， 一种全新的JARring体验

FortiGuard Web过滤团队最近发现了一个名为Qealler的JAR恶意软件。 本周早些时候，研究人员发布了对这种用Java开发的新恶意软件的调查结果，该恶意软件会秘密窃取受害者的个人信息。

要感染计算机，必须首先由用户执行恶意Qealler JAR文件。 此广告系列使用与发票相关的文件来吸引受害者打开。 当受害者双击文件以打开它时，将执行恶意软件。

执行时，将从受感染的站点下载安装Python凭据收集器的Java加载程序。 (记录之一是hiexsgroup.co[.]uk.)Qealler似乎被一个注明的开源Java字节码混淆器混淆了。 在二进制文件中，恶意软件可能尝试连接到其他加密URL。 这些URL导致服务器看起来存储第二阶段的有效载荷。

为了窃取密码，Qealler恶意软件有一个定制版本的LaZagne，一个开源的，利用后的密码收集器。 定制模块存储为名为“QaZaqne”的目录，具有与LaZagne相同的功能。 该模块具有窃取浏览器，电子邮件，Wi-Fi和设备密码的能力，仅举几例。 收到凭证后，将对其进行加密，编码，并将其与唯一的机器标识符ID一起发送到C2服务器。

FortiGuard Web Filter对所有已知的IOC都有适当的检测，并将所有相关的IP和URL列入黑名单。

感染指征(IOCs)：
prestigebuildersltd[.]net
larrgroup[.]co[.]uk/remittance%20advice[.]jar
prestonbuildersltd[.]co[.]uk/remittance%20advice[.]jar
otorgroup[.]co[.]uk/remittance%20advice[.]jar
ultrogroup[.]co[.]uk/remittance%20advice[.]jar
stgeorgebuildltd[.]co[.]uk/remittance%20advice[.]jar
82[.]196[.]11[.]96:54869/lib/qealler
82[.]196[.]11[.]96:443/lib/qealler
128[.]199[.]60[.]13:443/lib/qealler
37[.]139[.]12[.]136:443/lib/qealler 

关注Fotinet微信 获取更多安全资讯 

联系我们：400-600-5255