教育网络安全动态 2021年12月第1期(2021.11.26-2021.12.2) 一、政策要闻 1.中央网信办违法和不良信息举报中心组织第八批450家网站平台向社会统一公布举报受理方式 为深入推进网络生态综合治理,推动更多网站平台接受社会公众监督,中央网信办违法和不良信息举报中心近日组织第八批共450家网站平台向社会统一公布举报受理方式。至此,自2014年组织开展相关工作以来,目前向社会统一公布举报受理方式的网站平台已达到3500余家。举报受理方式包括在网站平台首页显著位置公布举报电话、电子邮箱等举报渠道和入口。 中央网信办违法和不良信息举报中心有关负责人指出,网站平台向社会统一公布举报受理方式,是贯彻落实《中华人民共和国网络安全法》等法律法规,推动网站平台履行主体责任,规范开展网络举报工作,自觉接受社会监督的重要举措。网站平台应通过此次公布举报受理方式,进一步畅通违法和不良信息举报渠道,及时受理处置和反馈网民举报投诉,切实维护好网民合法权益,共同营造清朗网络空间。 (来源:网信中国) 2.工信部正式发布《“十四五”大数据产业发展规划》 《规划》要求,到2025年,大数据产业测算规模突破3万亿元,年均复合增长率保持在25%左右,创新力强、附加值高、自主可控的现代化大数据产业体系基本形成。数据要素价值评估体系初步建立,要素价格市场决定,数据流动自主有序,资源配置高效公平,培育一批较成熟的交易平台,市场机制基本形成。关键核心技术取得突破,标准引领作用显著增强,形成一批优质大数据开源项目,存储、计算、传输等基础设施达到国际先进水平。数据采集、标注、存储、传输、管理、应用、安全等全生命周期产业体系统筹发展,与创新链、价值链深度融合,新模式新业态不断涌现,形成一批技术领先、应用广泛的大数据产品和服务。社会对大数据认知水平不断提升,企业数据管理能力显著增强,发展环境持续优化,形成具有国际影响力的数字产业集群,国际交流合作全面深化。 《规划》还明确了六大主要任务:(一)加快培育数据要素市场;(二)发挥大数据特性优势;(三)夯实产业发展基础;(四)构建稳定高效产业链;(五)打造繁荣有序产业生态;(六)筑牢数据安全保障防线。 (来源:工信部) 3.《上海市数据条例》正式发布 《上海市数据条例》已由上海市第十五届人民代表大会常务委员会第三十七次会议于2021年11月25日通过,现予公布,自2022年1月1日起施行。《条例》中单设章节规定数据安全以及重点保障个人信息安全,其中数据安全保障措施明确要建立数据分类分级制度,建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制等。 (来源:上海人大) 4.推进互联互通,微信松绑外链!实测点对点可直接打开淘宝链接 11月29日,微信发布外部链接内容管理规范的更新说明。此次更新包含三方面内容:在点对点聊天场景中将可直接访问外部链接,并且将在群聊场景下试行开放电商类外部链接直接访问功能。后续,微信还计划开发自主选择模式,为用户提供外链管理功能。 微信方面称,将继续在监管部门的指引下,与各大互联网平台共同推进互联互通方案,积极配合其它互联网平台共同落实互联互通,探讨在其它平台上顺畅使用微信服务的技术可能性,为用户提供更好的体验。 (来源:微信派) 二、技术资讯 5.攻击者利用微软MSHTML漏洞窃取谷歌和instagram凭证信息 ISafeBreach Labs安全研究人员发现伊朗攻击者利用微软MSHTML远程代码执行漏洞通过PowerShell 窃取器恶意软件来窃取受害者谷歌和instagram凭证信息。攻击者最初是2021年9月中旬发起攻击的,首先利用的是鱼叉式钓鱼邮件。攻击中使用了一个恶意的Windows word文档附件来攻击Windows用户。该恶意文档利用了一个Windows MSHTML远程代码执行漏洞——CVE-2021-40444。CVE-2021-40444漏洞影响IE浏览器的MSTHML渲染引擎,早在8月18日微软发布安全补丁之前就出现了0 day漏洞利用。几乎有一半的受害者位于美国。根据word文件的内容,研究人员推测受害者主要是对位于伊朗之外的伊朗人,这些人可能被视为是伊朗伊斯兰政权的威胁。 (来源:嘶吼专业版) 6.速打微补丁!这个越权文件读取漏洞影响 Windows OS CVE-2021-24084是位于 Windows 移动设备管理组件中的信息泄露漏洞,可导致攻击者获得越权文件系统访问权限并读取任意文件。安全研究员 Abdelhamid Naceri 在2020年10月份发现了该漏洞并报告给微软,后者在2021年2月补丁星期二中发布补丁。但Naceri 在2021年6月发现,该补丁可被绕过,信息泄露漏洞并未修复;就在11月份,他发现该漏洞还可被用于在运行最新安全更新的 Windows 10 机器上获得管理员权限并运行恶意代码0patch 平台的联合创始人 Mitja Kolsek 指出,“具体而言,就像HiveNightmare/SeriousSAM 漏洞告诉我们的那样,如果了解提取哪些文件并如何处,则任意文件泄露漏洞可升级为本地提权漏洞。”然而值得注意的是,CVE-2020-24084仅在特定情境下才可用于实现提权,即启用了 C:驱动上的系统防护特征且计算机上至少设置了一名本地管理员账户。 (来源:汇能云安全) 7.当红视频会议软件Zoom被曝存在2个严重漏洞 Google Project Zero安全研究人员近日发现视频会议软件Zoom存在两个重要漏洞,可能会让用户遭受攻击。这两个漏洞会影响Windows、macOS、Linux、iOS 和 Android 平台上Zoom客户端,这意味着几乎所有的用户都处于漏洞的威胁之中。第一个漏洞编号为CVE-2021-34423,是一个高严重性的缓冲区溢出漏洞,CVSS 基本得分为7.3分。第二个漏洞编号为CVE-2021-34424,是一个高严重性的内存损坏漏洞,CVSS 基本得分也是7.3分。目前,Google已经将这两个漏洞已经分享给Zoom。Zoom 发布的安全公告承认了这两个漏洞,并表示,“部分产品发现了一个缓冲区溢出漏洞和内存损坏漏洞,这可能会让应用程序或服务崩溃,攻击者可利用这些漏洞执行任意代码,或暴露进程的内容状态等。” (来源:securityaffairs.co) 三、国际视野 8.收集用户数据“透明度”过低,苹果、谷歌遭受巨额罚款 当地时间11月26日,意大利反垄断监管机构宣布,因苹果公司和谷歌公司在收集和使用用户数据时不够透明,对两家科技巨头分别处以1000万欧元(约合7200万人民币)的罚款。根据媒体披露的信息来看,这两家公司被罚款的主要原因是在获取和使用消费者数据用于商业目的时采取了激进的做法,这一行为违反了《消费者法》,除此之外,管理机构发现,谷歌和苹果在获取用户数据时,都没有提供及时、明确的信息,说明用户信息的使用情况以及数据用处。 (来源:securityaffairs.co) 9.宜家邮件系统正遭网络攻击 宜家发布公司内部邮件提醒员工称内部邮箱正遭回复链钓鱼网络攻击,这些邮件也从其它受陷宜家组织机构和业务合作伙伴发出。宜家在邮件中指出,“宜家内部邮箱正遭攻击。宜家的其它组织机构、供应商和业务合作伙伴也遭到同样的攻击并进一步将恶意邮件发送给 Inter IKEA 中的人员。这意味着攻击可通过同事、外部组织机构发送的邮件以及正在进行的对话回复发动。因此该攻击难以检测,提醒大家格外小心。”最近,威胁行动者开始使用 ProxyShell 和 ProxyLogin 漏洞攻陷微软 Exchange 内部服务器,执行钓鱼攻击。一旦获得服务器访问权限后,攻击者就使用被盗企业邮箱通过微软 Exchange 内部服务器对员工发动回复链攻击。由于这些邮件是通过内部受陷服务器和已有的邮件链发送的,因此人们对这些邮件的信任度更高。 (来源:汇能云安全) 10.金盆洗手?Avaddon组织在停止恶意攻击前发布了全部解密密钥 Avaddon总共发布了2934个解密密钥,每个密钥对应于该组织的一个受害者。Emsisoft发布了一个免费的解密程序,任何该软件的受害者都可以用它来免费恢复他们的文件,该解密程序文件可以在这里访问到。根据分析,Avaddon组织已经停止了恶意攻击活动。经确认托管在 Tor 网络隐藏服务上的 Avaddon 网站目前已经不可用,这说明该组织的活动已被关闭。关闭背后的原因仍然未知,但可能与Colonial Pipelin事件以及美国的法律法规有关。 (来源:嘶吼专业版) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|