Windows Server 更新导致域控制器瓦解并重新启动

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Windows Server 更新导致域控制器瓦解并重新启动

宣布时间 2024-03-22

1. Windows Server 更新导致域控制器瓦解并重新启动

3月21日，由于 Windows Server 2016 和 Windows Server 2022 的 2024 年 3 月累积更新中引入了当地宁静机构子系统服务 (LSASS) ，受影响的服务器正在冻结并重新启动。LSASS 是一项 Windows 服务，用于执行宁静计谋并处置用户登录、访问令牌创建和密码更改。正如许多管理员警告的那样，在安装周二宣布的 KB5035855 和 KB5035857 Windows Server 更新后，具有最新更新的域控制器将由于 LSASS 内存使用量增加而瓦解并重新启动。在 Microsoft 正式认可此内存泄露问题之前，建议管理员从其域控制器卸载有问题的 Windows Server 更新。

https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/

2. 朝鲜 Kimsuky 网络犯罪团伙已开始使用新计谋开展活动

3月21日，据信息宁静供应商 Rapid7 称，朝鲜污名昭著的 Kimsuky 网络犯罪团伙已开始使用新计谋开展活动。该团伙也被称为 Black Banshee、Thallium、APT 43 和 Velvet Chollima——恒久以来一直试图从政府机构和智库等机构获取信息，Rapid7 不确定该团伙如何分发其最新攻击，但确信有效负载包罗有毒的 Microsoft 编译 HTML 资助 (CHM) 文件以及 ISO、VHD、ZIP 和 RAR 文件。CHM 文件可以包罗文本、图像和超链接。Kimsuky 可能对它们更感兴趣，因为它们可以执行 JavaScript。Rapid7 的研究人员破解了其中一个 CHM 文件，他们认为这是 Kimsuky 的作品，并发现了“一个使用 HTML 和 ActiveX 在 Windows 计算机上执行任意命令的示例，通常用于恶意目的”。

https://www.theregister.com/2024/03/21/kimsuky_chm_file_campaign/

3. 威胁行为者利用 JETBRAINS TEAMCITY 漏洞流传恶意软件

3月20日，趋势科技研究人员发现利用 JetBrains TeamCity 中最近披露的漏洞CVE-2024-27198 （CVSS 评分：9.8）和CVE-2024-27199（CVSS 评分 7.3）宁静漏洞来部署多个恶意软件的攻击活动。CVE-2024-27198 是 TeamCity Web 组件中的一个身份验证绕过漏洞，由替代路径问题 ( CWE-288 ) 引起，CVSS 基本评分为 9.8（严重）。CVE-2024-27199是 TeamCity Web 组件中的一个身份验证绕过漏洞，由路径遍历问题 ( CWE-22 ) 引起，CVSS 基本评分为 7.3（高）。这些漏洞可能使未经身份验证的攻击者能够通过 HTTP(S) 访问 TeamCity 服务器来绕过身份验证检查并获得对该 TeamCity 服务器的管理控制。

https://securityaffairs.com/160823/breaking-news/jetbrains-teamcity-flaws-actively-exploited.html

4. 新的循环 DoS 攻击可能会影响多达 30万个系统

3月20日，一种名为“循环 DoS”的新拒绝服务攻击针对应用层协议，可以将网络服务配对到无限通信循环中，从而发生大量流量。该攻击由CISPA 亥姆霍兹信息宁静中心的研究人员设计，使用用户数据报协议 (UDP)，影响预计 300,000 台主机及其网络。此次攻击可能是由于 UDP 协议实现中的一个漏洞（目前跟踪为CVE-2024-2169 ）造成的，该漏洞容易受到 IP 欺骗，而且不提供足够的数据包验证。利用该漏洞的攻击者会创建一种自我延续的机制，该机制会无限制地发生过多的流量，而且无法阻止它，从而导致目标系统甚至整个网络泛起拒绝服务 (DoS) 情况。循环 DoS 依赖于 IP 欺骗，而且可以从发送一条消息以启动通信的单个主机触发。

https://www.bleepingcomputer.com/news/security/new-loop-dos-attack-may-impact-up-to-300-000-online-systems/

5. 伊朗黑客声称已入侵以色列的核设施

3月21日，一个与伊朗有关的黑客组织声称在“匿名”黑客宣布的一起事件中破坏了以色列敏感核设施的计算机网络，以抗议加沙战争。黑客声称从西蒙·佩雷斯·内盖夫核研究中心窃取并宣布了数千份文件，包罗 PDF、电子邮件和 PowerPoint 幻灯片。这个秘密设施内有一个与以色列未果然的核武器计划有关的核反映堆，历史上一直是哈马斯火箭的目标。该组织在社交媒体消息中解释了他们的意图，声称“我们不像嗜血的内塔尼亚胡和他的恐怖军队那样，我们以没有平民受到伤害的方式进行这次行动。” 尽管有这一声明，该组织在另一条社交媒体消息中体现，它“无意进行核爆炸，但这次行动很危险，任何事情都可能发生”，同时还宣布了一段描绘核爆炸和呼吁撤离人员的动画视频。

https://news.hitb.org/content/iranian-hackers-claim-have-breached-israeli-nuclear-facility

6. 研究人员称 AceCryptor 恶意软件在欧洲激增

3月21日，作为针对欧洲各地组织的活动的一部门，已经发现了涉及 AceCryptor 工具的数千个新熏染，黑客混淆恶意软件并将其植入系统而不被防病毒软件检测到。ESET 的研究人员花了数年时间跟踪 AceCryptor，他们周三体现，最近的攻击活动与之前的迭代差异，因为攻击者扩展了内部打包的恶意代码类型。AceCryptor 通常与名为 Remcos或 Rescoms 的恶意软件一起使用，这是一种强大的远程监视工具，研究人员已发现该工具多次用于针对乌克兰的组织。除了 Remcos 和另一个熟悉的工具 SmokeLoader 之外，ESET 体现，现在还发现 AceCryptor 分发 STOP 勒索软件和 Vidar 窃取法式等恶意软件。ESET 凭据目标国家/地域发现了一些差异。乌克兰的攻击使用了SmokeLoader，而波兰、斯洛伐克、保加利亚和塞尔维亚的攻击则使用了Remcos。

https://therecord.media/acecryptor-malware-surge-europe-remcos

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究