详细内容或原文请订阅后点击阅览
安全专家被虚假的 Windows LDAP 漏洞陷阱所诱骗
狡猾的攻击者再次试图欺骗本土的好人安全研究人员再次被攻击者引诱进入陷阱,这次是利用严重的 Microsoft 安全漏洞的虚假漏洞。
来源:The Register _恶意软件安全研究人员再次被攻击者引诱落入陷阱,这次是利用严重 Microsoft 安全漏洞的虚假漏洞。
Trend Micro 发现了一个似乎是 LDAPNightmare 合法概念验证 (PoC) 漏洞的分支,该漏洞最初由 SafeBreach Labs 于 1 月 1 日发布。但“分叉”漏洞 PoC 实际上会导致下载和执行窃取信息的恶意软件。
SafeBreach LabsLDAPNightmare 是 CVE-2024-49113 的 PoC 名称,CVE-2024-49113 是 LDAP 中的一个 7.5 级拒绝服务漏洞,已在 Microsoft 12 月的补丁星期二中进行了修补。
12 月补丁星期二这是 Microsoft 2024 年最终更新中解决的两个 LDAP 漏洞之一(另一个是关键的 CVE-2024-49112)。趋势科技研究员 Sarah Pearl Camiling 表示,“由于 LDAP 在 Windows 环境中的广泛使用,这两个漏洞都被视为非常重要”,因此引起了防御者的浓厚兴趣。
在伪造的 PoC 中,合法版本的 Python 文件被替换为名为“poc.exe”的可执行文件。如果用户运行此脚本,它将删除 PowerShell 脚本,然后该脚本从 Pastebin 下载并执行另一个脚本,收集用户的各种数据点。
被窃取的数据包括:
- 有关用户 PC 的信息进程列表目录列表(下载、最近、文档和桌面)网络 IP 网络适配器已安装的更新
有关用户 PC 的信息
进程列表
目录列表(下载、最近、文档和桌面)
网络 IP
网络适配器
已安装的更新
Camiling 指出,对于经验丰富的研究人员来说,诱饵方案应该已经引起了由于可执行文件位于 Python 项目中,因此人们对此产生了怀疑。她没有具体说明是否有人误以为是这个文件。
发表博客 致电 告诉 The Register The Register 重新开始