1、微软修复Copilot Studio严重漏洞防止敏感数据泄露

https://www.tenable.com/blog/ssrfing-the-web-with-the-help-of-copilot-studio

微软近日修复了一个影响Copilot Studio的关键安全漏洞（CVE-2024-38206），该漏洞由安全研究人员Evan Grant发现，评分为8.5分（CVSS）。漏洞源于服务端请求伪造（SSRF）攻击，攻击者可利用此漏洞绕过SSRF保护机制，泄露敏感信息。通过该漏洞，攻击者能够访问微软内部基础设施，包括实例元数据服务（IMDS）和内部Cosmos DB实例，从而获取托管身份访问令牌，进而可能对内部资源进行未授权访问。微软已修补此漏洞，并表示无需客户采取额外行动。

2、CannonDesign确认被Avos Locker勒索攻击致数据泄露

https://www.bleepingcomputer.com/news/security/cannondesign-confirms-avos-locker-ransomware-data-breach/

CannonDesign近日确认其网络遭遇了Avos Locker勒索软件的攻击，导致数据泄露。事件发生在2023年1月19日至25日之间，黑客通过未经授权的网络访问盗取了公司的敏感数据。尽管CannonDesign在2023年1月25日发现了入侵行为，但调查直到2024年5月3日才完成，进一步确认数据泄露的范围和影响。受影响的个人信息包括姓名、地址、社会保障号码和驾照号码。CannonDesign目前正向超过13000名现任和前员工发送通知，并提供24个月的Experian信用监控服务，以降低个人数据暴露带来的风险。虽然公司尚未确认数据被滥用，但泄露的数据已在多个网站上发布。

3、隐秘的“sedexp”Linux 恶意软件逃避检测达两年之久

https://www.bleepingcomputer.com/news/security/stealthy-sedexp-linux-malware-evaded-detection-for-two-years/

一种名为“sedexp”的隐秘 Linux 恶意软件自 2022 年以来一直在使用 MITRE ATT&CK 框架中尚未包含的持久性技术来逃避检测。

4、新型NGate安卓恶意软件利用NFC芯片窃取信用卡数据

https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-discovers-ngate-android-malware-which-relays-nfc-traffic-to-steal-victims-cash-from-atms-1/

一种名为NGate的新型安卓恶意软件被发现能够通过设备的近场通信（NFC）芯片窃取支付卡数据，从而使攻击者能够进行未授权支付或从ATM提取现金。该恶意软件自2023年11月起开始活动，最初通过伪装成银行紧急安全更新的PWA和WebAPK应用诱导受害者下载安装。NGate利用开源工具NFCGate捕获并中继NFC支付卡的数据，使攻击者能够将受害者的卡模拟为虚拟卡进行支付或提现。受害者在输入卡片PIN码时，该敏感信息也会被恶意软件收集。为了防止这种攻击，用户应禁用设备的NFC功能，或谨慎管理应用权限，仅从官方渠道安装银行应用程序。

5、数百家Magento在线商店遭黑客攻击致信用卡信息被窃

https://www.malwarebytes.com/blog/news/2024/08/hundreds-of-online-stores-hacked-in-new-campaign

近日，研究人员发现一场针对使用Magento平台的在线商店的恶意软件活动，这些商店被植入了数字窃取器代码，导致用户在结账时输入的信用卡信息（包括卡号、到期日期和CVV/CVC）被实时窃取。攻击者利用相同的漏洞在多家商店注入了一行看似无害的脚本，加载远程恶意代码，并在结账页面插入虚假的支付方式框架，优先获取用户的支付信息。

6、新型Cheana Stealer伪装成VPN钓鱼网站攻击多平台用户

https://cyble.com/blog/new-cheana-stealer-targets-vpn-user/

研究人员发现了一种新的Cheana Stealer恶意软件，该软件通过伪装成VPN服务的钓鱼网站传播，专门针对下载Windows、Linux和macOS平台VPN应用程序的用户。该攻击者为每个操作系统创建了不同的恶意程序，分别针对加密货币浏览器扩展、独立的加密钱包、浏览器密码、登录数据、Cookies、SSH密钥、macOS密码和Keychain。攻击者利用假冒的VPN服务来建立用户信任，然后分发恶意软件。该钓鱼网站的域名最近一次变更发生在2024年8月21日，并与一个活跃的Telegram频道有关，该频道自2018年存在以来经历了运营者更换。此类伪装和社会工程手段增加了攻击成功的可能性。

7、Microsoft Edge中发现高危漏洞影响其IE模式

https://truefort.com/cve-2024-38178/

2024年8月23日，研究人员发现了Microsoft Edge浏览器中的一个高危漏洞，标记为CVE-2024-38178。该漏洞影响Edge的Internet Explorer模式，CVSS v3评分为7.5，属于高威胁级别。CVE-2024-38178存在于Web内容处理机制中，允许攻击者通过恶意网页内容实现远程代码执行，可能导致服务器的未经授权控制、数据泄露和服务器操作中断。攻击者无需直接访问服务器，只需诱使用户点击恶意链接或与受损网页内容交互即可触发漏洞。为了应对这一风险，建议用户应用2024年8月的Microsoft补丁更新，修复漏洞，并考虑禁用或限制Internet Explorer模式，以降低被利用的风险。同时，保持系统和应用程序的最新安全更新，实施监控措施，以及时响应潜在的安全威胁。

8、美国无线电中继联盟确认支付100 万美元勒索攻击赎金

https://www.bleepingcomputer.com/news/security/american-radio-relay-league-confirms-1-million-ransom-payment/

美国无线电中继联盟 (ARRL) 证实，它支付了 100 万美元赎金以获得解密器，以恢复在 5 月份勒索软件攻击中加密的系统。

9、Telegram 创始人 Pavel Durov 周六在法国被捕

https://thehackernews.com/2024/08/telegram-founder-pavel-durov-arrested.html

据法国电视网 TF1 报道，流行通讯应用程序 Telegram 的创始人兼首席执行官帕维尔·杜罗夫于周六在法国被捕。

10、Slack 修复了暴露私人频道的AI功能漏洞

https://www.darkreading.com/cyberattacks-data-breaches/slack-ai-patches-bug-that-let-attackers-steal-data-from-private-channels

Slack 修复了其 AI 功能中的一个漏洞，该漏洞可能允许攻击者从私人频道窃取数据。该漏洞涉及 AI 功能中的提示注入漏洞，允许攻击者操纵系统执行恶意操作。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。