从最新的Windows更新降级攻击,到国际刑警组织追回4000万美元,到谷歌新的网站支付功能,到课堂管理平台被黑,再到美国起诉TikTok违反儿童隐私法,我们的每周网络安全时事通讯将分享成为头条新闻的热门新闻报道。 来自世界各地的头条新闻。
完全更新的系统遭受 Windows 更新降级攻击
阿隆·莱维耶夫 SafeBreach 安全研究员在 Black Hat 2024 活动中分享到,威胁行为者可以利用两个零日漏洞进行降级攻击,以“解锁”Windows 设备。
威胁行为者可能会在降级攻击中强制更新的目标设备恢复到较旧的软件版本,这会重新引入他们可以破坏的已修补漏洞。艾伦 分享了如何 Windows 更新过程很容易被恶意行为者破坏,从而在没有任何检测的情况下降级 DLL(动态链接库)等关键操作系统组件。 恢复或分析工具研究人员还分享了他的发现,强调即使应用了 UEFI 锁,不良行为者也可以禁用基于虚拟化的安全性 (VBS)。 Alon 解释说,从他向 Microsoft 报告这些漏洞起,经过 6 个月的等待期,这些发现才被披露。
该组织仍在努力 修复漏洞 并表示没有证据表明它们在野外被恶意行为者利用。漏洞追踪如下(CVE-2024-38202 和 CVE-2024-21302),还包括在找到永久解决方案之前您可以采取的保护自己的步骤。
国际刑警组织追回因企业邮箱攻击而被盗的超过 4000 万美元
国际刑警组织的付款中断机制有所帮助 追回4000万美元 该文件在针对新加坡组织的商业企业邮箱泄露 (BEC) 攻击期间被恶意行为者窃取。
根据 据国际刑警组织称,这是追回因 BEC 攻击而被盗的最大一笔资金。这次攻击针对的是一家商品公司,威胁行为者发送了一封企业邮箱,假装是该组织的供应商。他们要求将待付款发送到新的银行账户。 该组织转移了 4 230 万美元 四天后,他们发现这是一封欺诈性企业邮箱,其地址与供应商的地址略有不同。他们向当局报告了这一事件,当局致电国际刑警组织, 追回3900万美元 然后又从不良行为者那里追回了 200 万美元。
I-GRIP(国际刑警组织全球付款快速反应)于两年前推出,已帮助追回被欺诈者和不良行为者窃取的超过 5 亿美元。
谷歌浏览器将允许直接向网站付款
谷歌发布了 Chrome 浏览器的新功能,本周他们 常见的 计划推出一项网络货币化服务,让网站所有者能够获得 小额支付 以小费或奖励的形式。
网络货币化将允许内容创建者和网站所有者无需广告或订阅即可获得报酬,并且可以通过 HTML 标签轻松添加。它是为不需要任何用户交互的小规模支付而引入的。 该网站的任何访问者都可以完全控制付款方式和金额,但该服务仍在开发中。。这 Web平台孵化器社区组 开发新功能。
教室管理平台遭到破坏后,黑客删除了 13,000 台设备
本周,一名黑客成功破解了世界各地使用的数字教室管理平台,并删除了其中的数据。 iPad 和 Chromebook 近 13,000 名学生。
该平台的名称是Mobile Guardian,它是一个跨平台的解决方案 为 K-12 学校提供支持 拥有设备管理、家长控制、课堂管理、通信和安全网络过滤的一站式服务。他们遭受了 2024 年 8 月 4 日发生安全漏洞 2024 年 7 月 30 日,恶意行为者因配置错误而获得平台访问权限,导致 IT 中断。没有证据表明存在数据泄露或访问权限,但一小部分 iOS 和 ChromeOS 设备被威胁行为者擦除。手机卫士已暂停,您无法登录平台。学生对其设备的访问也受到限制。
这 教育部 迅速对情况做出反应并 分享了这个 来自 26 所中学的约 13,000 名学生在初步检查后丢失了数据。 目前,该应用程序在所有学生学习设备上被禁止,政府正在采取措施帮助在安全事件中受到影响的学生。。
美国政府起诉 TikTok 违反儿童隐私法
美国司法部(DoJ) 提出投诉 本周,对手是流行的社交媒体平台 TikTok。
该诉讼针对 TikTok 的母公司字节跳动,指控该应用未经父母同意收集 13 岁以下儿童的个人信息,违反了 COPPA(儿童在线隐私保护法)。 TikTok 允许 13 岁以下的儿童在儿童模式之外创建帐户,并且没有实施任何可以帮助识别/禁用/删除任何这些帐户的政策或流程。司法部估计,这种做法使数百万儿童面临“广泛的数据收集”,并允许他们访问个人信息。 成人内容和用户。但这还不是全部:投诉还显示,字节跳动知道这些违规行为,但没有采取任何行动来阻止数据收集。在家长的要求下,该公司也未能删除个人信息。 TikTok 还在数据收集政策方面误导了家长和用户,并且没有提供有关收集哪些数据以及如何使用这些数据的通知。。
司法部是 在搜索时 针对 TikTok 的民事处罚和禁令救济 上级组织 以避免将来发生违规行为。 TikTok 攻击了 X 和 发布 对诉讼的回应,声称这些指控与过去的事件有关,但事实并不准确。
