風險漏洞 處處小心

Log4j反序列化漏洞影響所有2.x版本

Apache Log4j被曝出存在一個反序列化漏洞，攻擊者可以通過發送一個特別制作的二進制payload，在組件將字節反序列化為對象時，觸發并執行構造的payload代碼。目前官方已發布新版本修復了該漏洞。

UEFI漏洞可被用于安裝底層勒索軟件

安全廠商Cylance揭示此漏洞深入到了計算機硬件組件的底層固件，可使攻擊者獲得操作系統訪問權，權限提升，并在系統管理模式(SMM)下執行惡意代碼。

物聯網醫療設備成為安全重災區

被稱為MedJack的攻擊，特指對于醫療設備的攻擊，黑客將惡意軟件植入醫療設備中，從中竊取個人醫療數據信息，或跟蹤活動藥物處方，使黑客能夠在線訂購藥物，并在暗網上銷售，甚至可用于操控物聯網醫療設備。

Linux 內核遠程代碼執行漏洞

Linux 4.5之前的內核允許遠程攻擊者通過UDP在帶有MSG_PEEK標志位的recv系統調用中觸發不安全的二次校驗和計算，攻擊者利用該漏洞可實現Linux內核遠程代碼執行，可能導致系統被完全控制。

刷臉登錄有漏洞？

人臉識別的安全漏洞被曝光后，再次表明生完特征識別的不可靠。生物特征數據庫被盜取帶來的風險要比‘盜刷’嚴重得多。現階段人臉認證技術還不能做到非常成熟，在涉及個人隱私、財產等重要信息的場景下，建議啟用多重認證方式。

方程式又一波大規模 0day 攻擊泄漏

名為Shadow Brokers的黑客組織再次泄露出一份文檔，其中包含了多個Windows遠程漏洞利用工具，可以覆蓋全球70%的Windows服務器，Windows服務器幾乎全線暴露在危險之中。提醒用戶及時留意補丁的更新。

Jackson框架出現Java反序列化漏洞

綠盟科技發布漏洞預警通告，這次是Jackson框架2.7.10 及2.8.9以下版本出現任意代碼執行漏洞，攻擊者利用該漏洞可以獲得網站控制權。

無文件惡意軟件采型用DNS作為隱秘信道

思科分析了名為DNSMessenger的攻擊。其用網絡釣魚郵件附帶惡意Word文檔，用戶點擊后則執行內嵌在文檔中的惡意腳本。其可基于DNS建立起雙向通信信道。攻擊者利用該隱秘通信信道執行結果。

可通過手機傳感器收集PIN碼等用戶隱私信息

英國紐卡斯爾大學稱智能手機中的傳感器可能泄露用戶隱私信息。利用智能手機傳感器收集的數據，可破解4位的PIN，一次嘗試準確度可達70%。

Karmen勒索軟件收到勒索金后會自我刪除

來自Recorded Future公司的研究人員披露稱最新發現一款Hidden Tear勒索軟件變體Karmen，它正在在暗網以勒索軟件即服務方式出售。Karmen會留下指令和勒索信息讓受害者支付一筆錢來獲取解密密鑰，它的不同之處在于，如果檢測到沙箱環境或分析軟件，它會自動刪除解碼器。

Linux爆新型病毒

亞信安全截獲最新Linux ARM惡意軟件IMEIJ，其利用所披露的CGI目錄漏洞CloudSetup.cgi執行命令注入，觸發惡意軟件下載。攻擊者欺騙設備下載惡意文件并且更改文件權限，在本地執行該惡意文件。

Ewind：披著合法應用外衣的廣告軟件

Andorid廣告軟件“Ewind”，攻擊者下載合法的Android應用，對其反編譯，添加惡意代碼，然后重新封裝為APK包。

能逃避機器學習檢測的Cerber勒索變種

Cerber勒索家族被發現可逃避檢測：使用一種新方法用加載出來的程序逃避機器學習檢測。其被設計為把一個二進制文件掏空，然后把Cerber的代碼替換進去，再使用其他手段加載運行。

Oracle數據庫再遭比特幣勒索攻擊

亞信安全截獲Oracle數據庫勒索病毒，該病毒捆綁在PS/SLQdeveloper安裝程序上，感染后會在用戶登錄時提示該數據庫被鎖死，并要求支付比特幣作為贖金。

BYOD成目標 大規模攻擊不是杞人憂天

近日，亞信安全發現一種被命名為“Svpeng”的移動銀行木馬，其不僅會竊取受害者的賬號密碼，還會控制設備竊取短信、通訊錄，甚至會鎖定設備勒索贖金。亞信安全提醒當前BYOD大行其道，惡意軟件爆發的移動設備恐將成為黑客進入企業網絡環境的跳板，企業應當提高警惕。

勒索軟件使用NSIS安裝程序逃避檢測

勒索軟件遞送的最新趨勢是使用帶加密有效載荷的Nullsoft腳本安裝系統(NSIS)，使用NSIS打包方法使安全人員較難采用批量采集技術采集和發現惡意軟件。

以上信息分別來源于“安全客”、“亞信安全”