Memory Weekly第42期|Adobe Acrobat Reader存在一个任意代码执行漏洞。

安信网盾内存安全每周专栏，希望能帮助企业更好的了解内存安全相关问题。让用户更好地了解和发现问题，防范外部入侵等威胁，有效地设计系统的安全性，从而防范和终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。实时地。一、Adobe Acrobat Reader中的任意代码执行漏洞(5月11日)最近在Adobe Acrobat Reader中发现了一个任意代码执行漏洞。详细信息目前，Adobe Acrobat Reader是市场上最受欢迎、功能最丰富的PDF阅读器之一。该软件支持JavaScript，因此可以处理交互式表单。CVE-2021-28562通过JavaScript专门利用查询，使得攻击者能够在目标机器上执行代码。攻击者需要诱骗用户打开专门设计的恶意PDF来利用此漏洞。参考：3359 blog . talositelligence . com/2021/05/vuln-spot light-adobe-acrobat-js . html II。微软发布补丁修复安全漏洞(5月11日)。周二，微软发布了月度安全更新，披露了其产品线中的55个漏洞，这是自2020年1月以来最低的月度漏洞。本月，仅修复了三个关键漏洞，其中两个严重性为“中等”，其余为“重要”。这些是严重的远程代码执行漏洞。详细信息CVE-2021-31166(CVSS评分9.8)是最严重的漏洞，它存在于HTTP协议栈中。未经验证的攻击者可以向目标服务器发送巧尽心思构建的数据包来利用该漏洞。一旦成功，他们将获得在目标服务器上执行远程代码的能力。IE脚本引擎中存在另一个严重的远程代码执行漏洞CVE-2021-26419。攻击者可以通过欺骗用户访问专门设计的网站来利用此漏洞。或者，他们可以在利用Internet Explorer呈现引擎的应用程序或Microsoft Office文档中嵌入一个标记为“初始化安全性”的ActiveX控件，然后欺骗用户打开该文件。第三个关键漏洞存在于OLE自动化中，这是一种进程间通信机制。CVE-2021-31194使得攻击者能够在目标机器上执行远程代码，而无需任何用户交互。参考：3359 blog . talositelligence . com/2021/05/Microsoft-patch-Tuesday-for-may-2021 . html III。柠檬鸭密码劫持僵尸网络改变了攻击策略(5月10日)。据悉，柠檬鸭加密货币挖矿僵尸网络已经在针对微软Exchange服务器的一系列招数中加入了ProxyLogon exploit group。此外，研究人员表示，柠檬鸭背后的网络犯罪组织还在其恶意软件工具包中添加了钴击攻击框架，并增强了反检测功能。详细信息ProxyLogon由四个漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)组成，它们可以链接在一起创建一个预认证的远程代码执行漏洞(RCE)——。这意味着攻击者允许他们使用电子邮件通信，并有机会安装webshell以在环境中进一步利用，如部署勒索软件。这个广为人知的漏洞开发链已经受到了高级持续威胁(APT)组织的攻击。他们用勒索软件和信息窃贼感染了系统，现在有经济动机的组织也开始参与进来。在柠檬鸭的情况下，一旦Exchange服务器被破坏，它将使用Windows控制管理器(sc.exe)来执行各种系统命令，包括复制两个。名为“wanlins”的aspx文件。Aspx”和“wanlin.aspx”研究称：“这些文件可能是Webshell，复制自C:\ inetpub \ wwwroot \ aspnet _ client \，而C:\ inetpub \ wwwroot \ aspnet _ client \是一个已知的目录。此外，该恶意软件现在通过使用Certutil下载并执行两个新的恶意PowerShell脚本。参考：3359 threatpost . com/lemon-duck-cryptojacking-botnet-tactics/165986/