首页 > 安全钻研 > 安全传递 > 安全简讯

Microsoft Teams更新机造可导致黑客执行肆意文件；二维码绕过邮件安全战术

颁布功夫 2019-07-01

1、Microsoft Teams更新机造可用于下载和执行恶意软件

安全钻研人员发现Microsoft Teams桌面利用法式中的更新机造可用于下载和执行恶意文件。同样的问题也影响了GitHub、WhatApp和UiPath的桌面版，但它们只能下载文件。该问题与使用NuGet来治理装置和更新包的开源项目Squirrel有关，钻研人员发现update号令及squirrel号令可在当前用户的高低文中执行肆意二进造文件，结合download参数，它还允许从远程地位以NuGet包的大局获取payload。微软暗示将在将来的软件版本中建复该问题。

原文链接：https://www.bleepingcomputer.com/news/security/microsoft-teams-can-be-used-to-download-and-run-malicious-packages/

2、安全厂商近5个月内拦截500万次针对IP摄像头的攻击

趋向科技暗示它在近5个月内阻止了针对IP摄像头的500万次攻击。凭据对7000个IP摄像头的分析，安全厂商发现IP监控行业面对着大量的攻击。趋向科技称这些攻击中75%的攻击都是对登录痛处的暴力破解尝试，并暗示存在明确的利用常见恶意软件（如Mirai变体）的攻击模式。趋向科技执行副总裁兼首席开发官Oscar Chang暗示：“越来越多的垂直行业在追求互连的、基于AI的视频监控利用，从相对封关的网络转向越发互联的基于云的网络。由于这种转变，造作商和用户必须关注这些物联网设备的安全性。”

原文链接：https://www.infosecurity-magazine.com/news/five-million-camera-cyberattacks-1/

3、伊朗APT33在钻研团队颁布其钻研汇报后转移至新基础设施

凭据Recorded Future的汇报，在2019年3月钻研人员颁布关于APT33的调研汇报后，该APT组织已经转移至新的基础设施。在汇报颁布后，大无数露出的域名都被停用或不再解析到真实的IP地址。这批注攻击者相始体对其活动的报路，并且占有急剧反映所需的资源。然而，只管被曝光，该组织依然对准沙特阿拉伯的组织，与其汗青指标维持一致。自3月下旬以来，钻研人员观察到该组织使用了超过1200个域名以及恶意软件，钻研人员还以为APT33、APT35和MUDDYWATER的攻击活动可能存在沉叠。

原文链接：https://www.securityweek.com/iranian-cyberspies-update-infrastructure-following-recent-report

4、新垂钓攻击活动利用二维码绕过邮件安全战术

法国Cofense钻研人员发现一个新的垂钓攻击活动利用二维码将指标沉定向至垂钓页面，这种步骤有效躲避了旨在阻止垂钓攻击的邮件安全节造措施。该二维码编码的内容是恶意URL，大无数智能手机的二维码扫描器将当即通过手机浏览器将用户沉定向至垂钓网站。该垂钓页面会诱使用户输入AOL、Microsoft或其他类型的帐户痛处来查看钓饵文档。这种攻击伎俩被称为QRishing，是一种已知的、经过验证的攻击步骤，2017年的一篇论文提出了一种可能的防御措施：QRCS（急剧响应代码安全）。

原文链接：https://www.bleepingcomputer.com/news/security/phishing-security-controls-fully-bypassed-using-qr-codes/

5、钻研人员演示若何利用Excel Power Query职能植入恶意软件

Mimecast钻研人员发现Microsoft Excel中的Power Query职能可被用于远程植入恶意软件。Power Query允许用户将表部数据源（如表部数据库或基于Web的数据）导入Excel中，钻研人员开发了一种技术，能够通过Power Query向Excel表格提议远程动态数据互换（DDE）攻击，交付恶意payload并自动节造该payload。微软暗示不会颁布建复法式，由于所有受支持的Microsoft Excel版本城市向用户提醒是否允许加载表部数据。但钻研人员暗示，在旧版本的Microsoft Excel 2010中，payload会自动执行，无需用户交互。

原文链接：https://threatpost.com/microsoft-excel-attack-vector/146062/

6、钻研人员披露Ultraloq智能锁中的多个安全缝隙

钻研人员发现U-tec造作的Ultraloq智能锁存在多个安全缝隙，蕴含API不足身份认证、蓝牙BLE密钥暴力破解等。Ultraloq是一款售价约200美元的蓝牙、指纹和触摸屏智能门锁，它还配套一个移动APP。钻研人员发现该移动APP使用的API泄露了用户数据，可允许攻击者沉置PIN、锁定用户或打开门锁。攻击者还可通过BLE接口进行暴力攻击，以破解BLE密钥。该智能锁在物理上也不安全，能够通过插入很薄的铁片手动打开锁。

原文链接：https://threatpost.com/smart-lock-turns-out-to-be-not-so-smart-or-secure/146091/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Microsoft Teams更新机造可导致黑客执行肆意文件；二维码绕过邮件安全战术

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

Microsoft Teams更新机造可导致黑客执行肆意文件；二维码绕过邮件安全战术

7*24幼时服务热线

Microsoft Teams更新机造可导致黑客执行肆意文件；二维码绕过邮件安全战术