数安热搜丨损坏的Word钓鱼文件可以绕过微软安全防护?澳大利亚新《网络安全法》获通过

科技   2024-12-09 10:00   浙江  

NEWS

本期看点  

热点资讯

  • 损坏的Word钓鱼文件可以绕过微软安全防护?

  • 勒索攻击致重要能源数字系统瘫痪,政府安抚民众燃油供应稳定
  • 国外央行被黑:超1.2亿元被盗 近半或损失
  • 湖南省网信办对某信息技术公司未履行数据安全保护义务作出行政处罚

监管动态

  • 澳大利亚新《网络安全法》获通过,强制要求报告勒索赎金支付

  • 欧洲发布关于境外司法机构要求数据处理者提供数据的适用指南征求意见稿
  • 欧盟信息安全局(ENISA)发布首份2024年欧盟网络安全状况报告
  • 关于联合发布《工业和信息化领域数据安全合规指引》的通知

安全研究

  • 知名开源监控系统Zabbix存在SQL注入漏洞
  • Crypto.com与HackerOne 一起推出200万美元的漏洞赏金计划

  • 谷歌浏览器解决 V8 JavaScript 引擎中的高严重性漏洞

  • 保护混合和多云环境的7个PAM最佳实践和8个热门解决方案

01

热点资讯

/ Hot information

损坏的Word钓鱼文件可以绕过微软安全防护?

一种新型的网络钓鱼攻击利用微软的Word文件恢复功能,绕过电子邮件安全软件,给目标发送损坏的Word文档作为电子邮件附件,并提示扫描二维码即可检索文档,从而窃取用户信息。

这些附件在实现目标方面相当成功,恶意软件狩猎公司Any.Run也称大多数安全解决方案无法检测到这些文件,这可能是因为文档中只显示了一个二维码并未添加恶意代码。

在用户层面,收到这类电子邮件时立即删除或在打开前与网络管理员确认,可以保护自己不受这种网络钓鱼的攻击。
(来源:FreeBuf)

勒索攻击致重要能源数字系统瘫痪,政府安抚民众燃油供应稳定

11月27日,哥斯达黎加国家能源公司因勒索攻击致使支付系统瘫痪,美国专家已在感恩节期间抵达并协助恢复系统。公司将手动进行销售服务并延长售油运营时间以满足燃油购买需求,直到完全确保系统安全为止。与此同时,哥斯达黎加加入了拜登政府的反勒索软件计划。

其实近年来,哥斯达黎加政府曾多次受到由Conti勒索软件团伙发动的勒索软件攻击,包括税务系统、交通运输部、海关、电力、气象服务以及医疗系统等多个领域。

(来源:安全内参)


国外央行被黑:超1.2亿元被盗 近半或损失

11月28日,乌干达国务部长穆萨西齐在议会发言中表示:乌干达中央银行的账户遭到了黑客攻击,正在进行相关调查。当地国有媒体New Vision同日报道,黑客自称为“Waste”,在本月早些时候非法窃取了620亿乌干达先令(约合1680万美元,人民币1.22亿元),后又援引银行内部匿名消息,黑客组织已将部分被盗资金转移至日本,中央银行已成功追回了超过一半的被盗资金。并据Daily Monitor报道,这起盗窃案可能涉及内部人员的勾结。

然而近年来,乌干达的银行及其他金融服务提供商曾多次发生网络盗窃事件,因担心失去客户而选择不公开承认。

(来源:安全内参)


湖南省网信办对某信息技术公司未履行数据安全保护义务作出行政处罚

近日,湖南省互联网信息办公室依据《中华人民共和国数据安全法》和《湖南省网络安全和信息化条例》对湖南某信息技术有限公司的不履行网络安全、数据安全保护义务行为给予警告并对相关人员进行行政处罚。据悉,该公司未采取相关措施保障数据安全,造成部分数据多次泄露,严重损害数据安全。

(来源:央广网)

02

监管动态

/ Regulatory developments

澳大利亚新《网络安全法》获通过,强制要求报告勒索赎金支付
11月29日,澳大利亚议会通过了新的《网络安全法》。该法要求组织机构在向黑客支付勒索款项后72小时内向澳大利亚信号局(ASD)报告,这将有助于监控勒索趋势,评估国家安全威胁并协助追踪犯罪分子。

该法还引入了智能设备新安全标准,设立了网络事件审查委员会并扩大了《关键基础设施安全法》(2018年)的范围,这些变化赋予了监管机构更多权力。

(原文链接:澳大利亚新《网络安全法》获通过,强制要求报告勒索赎金支付

欧洲发布关于境外司法机构要求数据处理者提供数据的适用指南征求意见稿
2024年12月3日,欧洲数据保护监督机构(EDPB)发布了关于GDPR第48条适用的指南征求意见稿,征求意见至2025年1月27日。
GDPR第48条规定:“任何第三国法院或法庭的判决以及任何第三国行政当局的决定,要求控制者或处理者转移或披露个人数据的,只有在基于请求国与欧盟或成员国之间有效的国际协议(如司法协助条约)的情况下,才能以任何方式得到承认或具有可执行性,且不影响本章规定的其他转移依据。”

这条强调了对第三国法律的法律主权,本指南的目的则是澄清该条款的理由和目标,包括其与GDPR第五章其他条款的相互作用,并为可能收到第三国当局披露或转移个人数据请求的欧盟控制者和处理者提供实际建议。

原文链接欧盟《关于境外司法机构要求数据处理者提供数据的适用指南》征求意见

欧盟信息安全局(ENISA)发布首份2024年欧盟网络安全状况报告
12月3日,ENISA在发布的首份《联盟网络安全状况报告》中表示从2023年7月至2024年6月期间欧盟面临的网络威胁级别为“相当高”。报告指出随着国际局势紧张的加剧,网络攻击明显升级,攻击种类、数量及后果均创下新高,这可能会对重要实体或欧盟机构、团体和机构造成严重破坏。
按威胁类型划分的事件明细:以DoS和勒索软件攻击最多

该报告旨在为欧盟层面的政策制定者提供欧盟、国家和社会层面网络安全状况和能力的概述,并提出政策建议,以解决已发现的缺陷并提高整个联盟的网络安全水平。

原文链接欧盟信息安全局(ENISA)发布首份2024年欧盟网络安全状况报告

关于联合发布《工业和信息化领域数据安全合规指引》的通知
为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》等法律政策要求,引导工业和信息化领域数据处理者规范开展数据处理活动,中国通信企业协会,中国互联网协会等17家单位组织编制了《工业和信息化领域数据安全合规指引》(简称《合规指引》)。
原文链接关于联合发布《工业和信息化领域数据安全合规指引》的通知

03

安全研究

/ Security research

知名开源监控系统Zabbix存在SQL 注入漏洞

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等。由于Zabbix前端CUser类中的addRelatedObjects函数未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可以通过user.get API传递特制输入触发SQL注入攻击,进而实现权限提升或访问敏感数据。
Qualys公司已经发现有超过83000个暴露在互联网上的Zabbix服务器,虽然官方已发布新版本修复多处漏洞,但仍有未被公开利用的漏洞存在。强烈建议用户尽快升级为最新版本,降低数据泄露风险。
原文链接知名开源监控系统Zabbix存在SQL 注入漏洞

Crypto.com与HackerOne 一起推出200万美元的漏洞赏金计划
近日,知名加密货币平台Crypto.com宣布与HackerOne合作,升级其漏洞赏金计划为200万美元奖励池,成为平台上所有行业中提供的最大赏金。

安全和合规是Crypto.com工作的基石,这一举措旨在积极加强平台的防御能力,表明其致力于为用户提供一个安全可靠的平台。

原文链接Crypto.com与HackerOne 一起推出200万美元的漏洞赏金计划

谷歌浏览器解决 V8 JavaScript 引擎中的高严重性漏洞
谷歌发布了 Chrome 浏览器的安全更新,以缓解 V8 JavaScript 引擎中存在的高严重性 “类型混乱 ”漏洞(CVE-2024-12053)。该漏洞早在11月被发现,可能允许攻击者在用户系统上执行任意代码,从而危及用户的数据安全。

谷歌在最新的稳定版渠道解决了这一问题及另外3个安全修复,该更新将在未来几天和几周内逐步向用户推出。

原文链接谷歌浏览器解决V8 JavaScript 引擎中的高严重性漏洞


保护混合和多云环境的7个PAM最佳实践和8个热门解决方案
混合和多云环境成为众多组织首选IT架构的同时,PAM的重要性也愈发凸显。从集中访问控制到确保云原生集成,集中访问控制,限制对关键资源的访问等7大最佳实践旨在帮助组织构建一个强大、灵活且合规的特权访问管理框架。CyberArk特权访问管理器,BeyondTrust t 特权访问管理等8大热门解决方案提供了一种有效的方法来控制、监控和保护高级访问权限。

原文链接保护混合和多云环境的7个PAM最佳实践和8个热门解决方案


往期回顾





全知科技
数据在流动,可见才安全
 最新文章