2022 第二季度 TOP 10 此处收录了本季度嘶吼最受欢迎的 TOP10 文章 1 微软 office 被曝 0 day 漏洞 研究人员在微软 office 中发现一个 0 day 安全漏洞——Follina， 2 Java 新漏洞 PoC 曝光 漏洞 CVE 编号为 CVE-2022-30190。漏洞存在于微软支持诊 断 工 具（Microsoft Support Diagnostic Tool，MSDT） 中， 当 MSDT 使用 word 等应用从 URL 协议调用时会触发漏洞。攻击者 利用该漏洞可以以调用应用的权限运行任意代码，然后安装应用 程序、查看、修改和删除数据，创建新的用户账户等。 3 针对中国的黑客组织使用了全新的传 播方式 研究人员发现最新发布的 Java 发行版中 ECDSA 签名算法实现中 存在安全问题，漏洞 CVE 编号 CVE-2022-21449，CVSS 评分 7.5 分。该漏洞存在于 Java 的 ECDSA 签名算法的实现中，ECDSA 算法是对消息进行签名和验证内容的真实性和完整性的加密机制。 攻击者利用该漏洞可以伪造签名和绕过认证过程，攻击者可以轻 易地伪造 SSL 证书类型和握手（允许通信的拦截和修改）、签名 的 JWT、SAML 证明或 OIDC ID token、甚至 WebAuthn 认证消息。 Luoyu 是一个主要针对中国境内目标进行攻击的黑客组织，虽 然不怎么出名，但研究人员发现，该组织自从 2008 年以来就 4 Java 新漏洞 PoC 曝光 Azure Static Web Apps 是微软提供的一个服务，可以帮助用户 一直非常活跃。早在去年 10 月，就研究人员对 Luoyu 攻击组件 从 GitHub 或 Azure DevOps 代码库构建和部署全栈 web app。允 WinDealer 进行了分析，在读取 C：\ProgramData 下的文件配 许开发人员使用定制的域名来推广 web app，为 HTML、CSS、 置后，在其内存中加载 DLL 模块。窃取受害者 PC、网络配置、 JS 和图像等静态内容提供 web host 服务。近日，研究人员发现 SNS 应用程序等信息，并将这些信息保存到 %TEMp% 目录带有 .a 有攻击者滥用微软 Azure 的 Static Web Apps 服务来窃取微软、 后缀的文件中，然后发送到 C2 服务器，并且具有常规木马功能。 office 365、Outlook 和 OneDrive 凭证。 5 PyPI 包被曝含有密码窃取器 6 一种新型钓鱼攻击技术出现 对于安全人员来说，URL 是域名可信度评估的最重要方式。IDN Homograph 和 DNS 劫持等攻击会使得 URL 可信度降低。近日， 研究人员发现一种模拟浏览器窗口进行欺骗的新型钓鱼攻击方式。 在用谷歌、微软、苹果等服务登入网站时，都会提供一个进行认 证的弹窗。使用基本的 HTML/CSS 来复制整个窗口的设计非常 简单，将窗口设计和指向保存有钓鱼页面的恶意服务器的 iframe 融合后基本上是不可区分的。 研究人员在 3 个恶意 PyPI 包中发现了后门密码窃取器。研究人员 发现由于存在恶意 request 依赖导致 keep、pyanxdns、api-respy 3 个 PyPI 包部分版本中存在后门。CVE 编号为 CVE-202230877、CVE-2022-30882、CVE-2022-31313。受影响的版 本为：Keep v1.2 版本；Pyanxdns v0.2 版本；api-res-py v0.1 版本。 比如，keep 项目使用合法 python 模块 requests 进行 HTTP 请求， 8 DNS 漏洞影响数百万 iot 设备 但 keep v1.2 版本中使用的是 request，这是一个恶意软件。 7 北京健康宝遭受境外攻击，安全保障 仍任重道远 对于安全人员来说，URL 是域名可信度评估的最重要方式。IDN Homograph 和 DNS 劫持等攻击会使得 URL 可信度降低。近日， 研究人员发现一种模拟浏览器窗口进行欺骗的新型钓鱼攻击方式。 在用谷歌、微软、苹果等服务登入网站时，都会提供一个进行认 证的弹窗。使用基本的 HTML/CSS 来复制整个窗口的设计非常 简单，将窗口设计和指向保存有钓鱼页面的恶意服务器的 iframe 融合后基本上是不可区分的。 9 北京健康宝遭受境外攻击，安全保障 仍任重道远 来自牛津大学和 Armasuisse S+T 的安全研究人员设计了一种针 对电动汽车充电标准 CCS 的攻击方式——Brokenwire，远程攻击 研究人员在 C 标准库的 DNS 组件中发现一个安全漏洞，利用该 漏洞可以对 DNS 进行投毒攻击，影响数百万嵌入式和 IoT 设备。 uClibc 库和 uClibc-ng 库是两个标准的 C 语言库，可以提供扩展 的 DNS 客户端接口，允许应用程序即时执行 lookup 和其他 DNS 相关的查询，被 Netgear、Axis、Linksys 等主流设备厂商使用， 被适用于 Linux 系统的嵌入式应用中。 10 详细解读： 2022 年暗网价格指数报告 本报告收集了 2021 年 2 月至 2022 年 1 月的数据，反映了最新的 者利用这种攻击可以破坏电动车的充电过程。Brokenwire 攻击是 产品价格、趋势以及用于使暗网运营更高效、客户更安全的方法。 针对电动汽车 CCS 的新型攻击，攻击会破坏电动汽车与充电器之 在过去的一年里，暗网数据市场的总量和产品种类都在增长。可以 间必要的控制通信，引发充电会话中止。攻击可以通过电磁干扰 预见的是，随着供应量的增加，大多数产品 / 服务价格暴跌。以下 远程无线的方式发起，允许单个车辆或整个充电车辆同时被破坏。 是对暗网数据市场的总结：销量：去年售出的商品数量呈上升趋势。 此外，攻击可以挂载在无线硬件上，无需太多的技术细节。在 去年，超过 9,000 家销售假身份证和信用卡的活跃供应商都报告了 1W 功率情况下，攻击范围可以达到 47m。预计 Brokenwire 攻击 数千笔交易的销售额。数据量：与 2020 年相比，2021 年售出的 影响 1200 万电动车。此外，Brokenwire 还影响电动船、电动飞 虚假信用卡数据、个人信息和文件更多。种类繁多：产品名目增加， 机和其他电动交通工具。 增加了被黑的加密货币帐户和优步等网络服务项目。 1 2 关于对《网络安全标准实践指南—Windows 7操作系统安全加固指引（征求意见稿）》公开征求意见的通知 4月11日，为帮助用户降低Windows  7操作系统停服后仍须使用该操作系统应用场景下的网络安全风险，全国信息安全标 准化技术委员会秘书处组织编制了《网络安全标准实践指南—Windows  7操作系统安全加固指引（征求意见稿）》。根据 《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》要求，现对《网络安全标准实践指南 — Windows 7操作系统安全加固指引（征求意见稿）》面向社会公开征求意见。 工信部部署加快工业互联网安全关键核心技术创新突破 4月14日，工业和信息化部印发《工业互联网专项工作组2022年工作计划》，提出15大类任务，其中之一为提升安全 保 障。《计划》提出，一是依法落实企业网络安全主体责任，要健全完善工业互联网安全管理制度，深入实施工业互联网 企 业网络安全分类分级管理制度。二是要加强网络安全供给创新突破，加快工业互联网安全关键核心技术创新突破。三是 促 进网络安全产业发展壮大，做好网络安全产业政策文件宣贯落实。四是强化网络安全技术保障能力，持续提升国家工业 互 联网安全技术监测服务能力。五是开展企业网络安全能力贯标。 3 国家邮政局、公安部、国家互联网信息办公室联合启动邮政快递领域个人信息安全治理专项行动 4月21日，国家邮政局、公安部、国家互联网信息办公室联合召开电视电话会议，部署开展为期半年的邮政快递领域个 人 信息安全治理专项行动。会议指出，一要实现涉邮政快递领域侵犯公民个人信息违法犯罪得到明显遏制；二要全面开展 排 查，严格落实人防物防技防措施；三要严厉打击涉寄递电信诈骗、空包“刷单”等违法犯罪行为；四要严格依法监管执法 ， 严肃查处追责，切实形成高压态势；五要大力推广虚拟安全号码、隐私面单、网络身份认证等技术应用；六要加强关键 信 息基础设施安全保护，建立健全网络安全监测预警和网络安全事件应急预案。 4 中央网信办等三部门印发《深入推进IPv6规模部署和应用2022年工作安排》 4月25日，中央网信办、国家发展改革委、工业和信息化部联合印发《深入推进IPv6规模部署和应用2022年工作安排》 ， 《工作安排》明确了2022年工作目标：到2022年末，IPv6活跃用户数达到7亿，物联网IPv6连接数达到1.8亿，固定网络 IPv6流量占比达到13%，移动网络IPv6流量占比达到45%。网络和应用基础设施承载能力和服务质量持续提升，IPv6网 络 性能指标与IPv4相当，部分指标优于IPv4。数据中心、内容分发网络、云平台和域名解析系统等应用基础设施深度支 持 IPv6服务。新出厂家庭无线路由器全面支持IPv6，并默认开启IPv6地址分配功能。“IPv6+”技术生态体系更加完善，行业 融 合应用领域持续扩大。县级以上政府门户网站IPv6支持率达到85%，国内主要商业网站及移动互联网应用IPv6支持率达 到 85%。IPv6网络安全防护能力大幅提升。 5 关于对《网络安全标准实践指南—信息系统灾难备份实践指引（征求意见稿）》公开征求意见的通知 4月26日，为指导各组织开展信息系统灾难备份实践工作，全国信息安全标准化技术委员会秘书处组织编制了《网络安 全 标准实践指南—信息系统灾难备份实践指引（征求意见稿）》。根据《全国信息安全标准化技术委员会<网络安全标准 实 践指南>管理办法（暂行）》要求，面向社会公开征求意见。 6 全国信息安全标准化技术委员会发布《个人信息跨境处理活动认证技术规范（征求意见稿）》 4月29日，全国信息安全标准化技术委员会发布有关《网络安全标准实践指南—个人信息跨境处理活动认证技术规范（ 征 求意见稿）》公开征求意见的通知。该文件依据有关政策法规要求，为落实《个人信息保护法》第38条建立个人信息保 护 认证制度提供认证依据，并适用于以下情形：跨国公司或者同一经济、实体内部的个人信息跨境处理活动；《中华人民 共 和国个人信息保护法》第三条