5th域安全微讯早报【20250515】116期

4. 8900万Steam用户数据遭泄露黑客开价5000美元兜售

【SecurityLab网站5月14日报道】黑客"Machine1337"声称掌握包含8900万Steam用户记录及验证码的数据库，并以5000美元价格出售。Steam社区安全组织SteamSentinels推测泄露可能源于云通信服务商Twilio的API漏洞，但Twilio官方否认系统遭入侵，表示样本数据与其日志格式不符。泄露样本含3000条含电话号码的Steam验证码记录，时间戳显示为2025年3月初。目前Valve公司尚未回应，数据泄露源头仍成谜，专家建议用户启用Steam Guard移动验证器并警惕异常登录。

5. 加拿大新斯科舍电力公司遭网络攻击客户财务数据可能泄露

【TheRecord网站5月15日报道】加拿大新斯科舍省主要电力供应商新斯科舍电力公司（Nova Scotia Power）确认，在3月19日至4月25日期间遭遇网络入侵，导致客户敏感信息泄露。被窃数据可能包括姓名、联系方式、用电记录、驾照号码、社会保险号及银行账户信息。该公司为全省95%地区供电，目前正通过邮件通知受影响客户，并警告近期针对客户的钓鱼攻击激增。母公司Emera未回应是否涉及勒索软件攻击，但强调发电输电等核心物理设施未受影响。这是加拿大能源行业近期披露的又一起重大数据泄露事件。

6. 俄罗斯胜利日期间全国断网遭人权组织谴责影响民生服务

【TheRecord网站5月14日报道】俄罗斯在5月5日至9日胜利日80周年庆典期间实施全国性移动互联网封锁，引发国际人权组织强烈抗议。Access Now联合29个组织发表声明指出，此次波及30多个地区的断网措施缺乏法律依据，导致银行、电商及政府服务瘫痪，中小企业运营受阻。克里姆林宫辩称为防范乌克兰无人机袭击的必要安全措施，但人权组织批评其过度侵犯公民权利。监测显示，Wildberries等电商平台订单量骤降，快递服务被迫转为人工操作。这已是俄罗斯近年来在重大活动期间第三次实施全国断网，凸显其互联网管控持续收紧态势。

7. Windows远程桌面网关漏洞使攻击者触发DoS条件

【Cybersecuritynews网站5月14日报道】微软安全响应中心（MSRC）发布了重要的安全更新，以解决Windows远程桌面网关（RD）服务中的两个关键漏洞。第一个漏洞是CVE-2025-26677，可能允许未经授权的攻击者触发拒绝服务（DoS）条件，从而破坏企业环境中的远程访问功能。该漏洞源于远程桌面网关服务中不受控制的资源消耗，允许未经身份验证的远程攻击者耗尽系统资源并导致服务中断。受影响的产品包括Windows Server 2019、2022和2025（核心版和标准版）。第二个漏洞是CVE-2025-29831，可能通过Use After Free漏洞允许远程代码执行（RCE）。该漏洞的CVSS评分为7.5，需要用户交互，特别是管理员用户停止或重新启动服务。微软已发布安全更新（KB5058383、KB5058392、KB5058385和KB5058411）来解决所有受影响平台上的问题。尽管目前认为主动利用这些漏洞的可能性较小，但系统管理员仍需立即应用补丁，以防止潜在的攻击。

8. Microsoft Defender漏洞允许攻击者提升权限

【Cybersecuritynews网站5月14日报道】微软安全响应中心（MSRC）14日发布了一个重要的安全更新，以修复Microsoft Defender for Endpoint中的一个安全漏洞（CVE-2025-26684）。该漏洞可能允许具有本地访问权限的攻击者将其权限提升到系统级别，从而完全控制受影响的系统。该漏洞的CVSS评分为6.7，被归类为“重要”而非“严重”。研究人员发现，该漏洞源于Microsoft Defender for Endpoint在处理文件路径时对用户输入的验证不当。成功利用该漏洞的攻击者可以获得系统权限，安装程序、修改或删除数据，以及创建具有完全管理权限的账户。该漏洞特别影响101.25XXX之前的Linux版本的Microsoft Defender for Endpoint。微软已将该漏洞的可利用性评估为“不太可能被利用”，并确认没有证据表明该漏洞在补丁发布之前已被公开披露或被利用。尽管如此，受影响的组织应立即应用最新的安全更新，以防止潜在的攻击。对于无法立即修补的环境，安全团队应实施额外的监控，以检测可疑的权限提升尝试和异常系统级活动。

9. Outlook RCE漏洞允许攻击者执行任意代码

【Cybersecuritynews网站5月14日报道】微软在5月补丁星期二发布了针对Outlook电子邮件客户端的重大安全更新，修复了72个漏洞。其中，CVE-2025-32705是一个远程代码执行（RCE）漏洞，攻击者可通过发送特制文件利用该漏洞，当用户在受影响的Outlook版本中打开文件时，可触发越界读取错误，进而执行任意代码。该漏洞的CVSSv3评分为7.8，被归类为“重要”级别。值得注意的是，Outlook预览窗格不会触发该漏洞，用户必须主动打开恶意文件。受影响的产品包括Microsoft Office LTSC LTSC 2024和Microsoft 365应用的32位和64位版本。微软已发布安全更新，建议用户立即应用补丁，并采取谨慎处理电子邮件附件、维护端点安全和监控安全公告等措施，以降低潜在风险。

10. 微软警告AD CS漏洞可导致攻击者通过网络拒绝服务

【Cybersecuritynews网站5月14日报道】微软发布安全公告，警告Active Directory证书服务（AD CS）存在新漏洞（CVE-2025-29968），攻击者可通过网络执行拒绝服务攻击。该漏洞影响多个Windows Server版本，严重性等级为“重要”，CVSS评分为6.5/5.7。该漏洞源于AD CS中不正确的输入验证，可能导致服务无响应，破坏组织的身份验证过程、安全通信和其他依赖证书的操作。受影响的产品包括Windows Server 2022（含23H2版）、2016、2012/2012 R2和2008/2008 R2。微软已发布安全更新，建议IT管理员根据其Windows Server版本应用相应的补丁。尽管微软评估该漏洞“不太可能被利用”，但建议使用AD CS的组织将相关安全更新纳入常规补丁管理流程。

11. Fortinet高危漏洞遭利用多款企业产品需紧急修补

【SecurityLab网站5月14日报道】Fortinet旗下多款企业级产品（包括FortiVoice、FortiMail、FortiNDR等）被曝存在高危漏洞（CVE-2025-32756，CVSS 9.6分），攻击者可通过特制HTTP请求实现远程代码执行。该漏洞涉及堆栈溢出（CWE-121），已被用于实际攻击，攻击者通过扫描目标设备、删除日志并启用fcgi调试以窃取SSH凭证。Fortinet确认6个恶意IP（如198.105.127.124等）参与攻击，但未披露具体受害范围。官方已发布补丁，要求用户升级至指定版本（如FortiMail需7.0.9及以上），部分旧版产品（如FortiCamera 1.1/2.0）需彻底迁移。若无法立即更新，建议临时禁用HTTP/HTTPS管理接口。

12. Ivanti EPMM曝高危漏洞组合攻击者可绕过认证实现远程代码执行

【SecurityLab网站5月14日报道】Ivanti Endpoint Manager Mobile（EPMM）本地版本存在两个高危漏洞（CVE-2025-4427和CVE-2025-4428），攻击者可组合利用实现未授权访问和远程代码执行（RCE）。其中CVE-2025-4427（CVSS 5.3）允许绕过API认证，CVE-2025-4428（CVSS 7.2）则通过特制API请求实现RCE。Ivanti已发布修复版本（11.12.0.5/12.3.0.2等），但Shadowserver监测显示德美等地仍有数百个暴露实例。此次事件延续了Ivanti产品近年频遭攻击的趋势，FBI与CISA此前曾警告其漏洞的持续威胁。

13. Adobe Illustrator曝高危漏洞恶意文件可致任意代码执行

【CybersecurityNews网站5月14日报道】Adobe修复了Illustrator设计软件中的一个严重堆缓冲区溢出漏洞（CVE-2025-30330，CVSS 7.8）。该漏洞影响2025版(≤29.3)和2024版(≤28.7.5)，攻击者通过诱骗用户打开恶意.ai/.eps文件即可在目标系统执行任意代码。Adobe已在2025版29.4及2024版28.7.6中修复该漏洞，建议用户立即通过Creative Cloud更新。目前尚未发现攻击案例，但专家警告漏洞细节公开后可能迅速出现利用尝试。

14. Adobe Photoshop曝三大高危漏洞可致任意代码执行

【CybersecurityNews网站5月14日报道】Adobe修复了Photoshop中的三个严重漏洞（CVE-2025-30324/30325/30326，CVSS均为7.8），影响2025版(≤26.5)和2024版(≤25.12.2)。这些漏洞涉及整数下溢、溢出及未初始化指针访问问题，攻击者通过诱骗用户打开恶意文件可在受害者系统执行任意代码。Adobe已在2025版26.6及2024版25.12.3中修复漏洞，建议用户立即通过Creative Cloud更新。目前尚未发现攻击案例，但安全专家强调需警惕漏洞公开后的潜在利用风险。

15. 超过82,000个WordPress网站面临远程代码执行攻击风险

【Cybersecuritynews网站5月14日报道】高级WordPress主题TheGem被发现存在严重漏洞，全球超过82,000个网站受影响。研究人员在TheGem主题版本5.10.3及更早版本中发现了两个独立但相互关联的漏洞，结合使用时可能导致远程代码执行和网站完全入侵。第一个漏洞（CVE-2025-4317）的CVSS评分为8.8，允许具有订阅者级访问权限的攻击者上传任意文件。第二个漏洞（CVE-2025-4339）的CVSS评分为4.3，允许攻击者修改主题设置，包括将徽标URL设置为恶意内容。攻击者可以利用这两个漏洞上传恶意PHP文件并执行任意代码。CodexThemes已于2025年5月7日发布修补版本5.10.3.1。Wordfence建议用户立即更新至该版本，并实施Web应用程序防火墙、审查用户角色和权限以及监控服务器日志中的可疑活动。这一事件凸显了定期更新软件、管理用户权限和实施安全措施的重要性。

16. PyPI惊现恶意Solana工具包数百名区块链开发者遭供应链攻击

【SecurityLab网站5月14日报道】攻击者向Python官方包索引（PyPI）上传名为"solana-token"的恶意库，伪装成Solana区块链开发工具，实际通过伪造的register_node()函数窃取开发者敏感数据。该软件包在被下架前已被下载761次，可窃取整个Python工作栈内容（包括加密密钥和私有代码）并发送至攻击者控制的IP地址。ReversingLabs分析指出，该恶意包刻意模仿Solana生态命名规范，利用开发者对开源组件的信任实施定向攻击。尽管传播途径尚未明确，但专家推测可能通过技术论坛扩散。此次事件再次凸显区块链领域面临的供应链安全风险，研究者建议开发团队严格监控第三方依赖行为，尤其在项目初期避免硬编码敏感信息。

17. 恶意软件滥用WMIC命令的五大攻击手法解析

【CybersecurityNews网站5月14日报道】安全研究团队通过ANY.RUN沙盒分析揭示恶意软件滥用Windows内置工具WMIC的五大攻击模式：1）通过wmic os get等命令探测系统环境规避检测；2）利用软件激活伪装（如InstallProductKey）收集许可信息；3）通过添加Defender排除路径实现反病毒绕过；4）使用shadowcopy delete删除系统备份增强勒索效果；5）调用进程终止命令清除攻击痕迹。这些手法利用合法工具的特性，常被Trox、AsyncRat等恶意软件用于攻击链早期阶段。研究人员强调实时监控WMIC活动对威胁狩猎至关重要。

18. 朝鲜黑客组织Konni针对乌克兰政府发动网络钓鱼攻击

【SecurityLab网站5月14日报道】与朝鲜政府有关联的黑客组织Konni（又名Opal Sleet、TA406）自2025年2月起对乌克兰政府机构展开网络钓鱼攻击，旨在收集情报。攻击者冒充虚构智库分析师，通过Gmail、ProtonMail等公共邮箱发送钓鱼邮件，内容涉及乌克兰军事人事变动及政治议题，诱导受害者下载含恶意脚本的压缩包（如"Analytical Report.rar"）。文件中的CHM或LNK会触发PowerShell脚本，部署间谍后门。此外，Konni还通过伪造微软安全警报窃取账户凭证。Proofpoint指出，此举反映朝鲜对乌克兰局势的关注升级，意图分析政府内部动态及潜在军事威胁。

19. 黑客组织"分散蜘蛛"转向攻击美国零售业谷歌发出安全警告

【BleepingComputer网站5月14日报道】谷歌威胁情报团队警告称，以社会工程攻击闻名的黑客组织"分散蜘蛛"（Scattered Spider/UNC3944）在针对英国玛莎百货、哈罗德百货等零售巨头实施勒索软件攻击后，近期将目标转向美国零售业。该组织近期使用DragonForce勒索软件加密VMware ESXi主机，并涉嫌通过SIM卡交换、MFA轰炸等手段入侵Twilio、米高梅等多家跨国企业。英国NCSC已发布防御指南，但尚未确认系列攻击的关联性。该组织成员多为英语母语的年轻黑客（最小16岁），通过Telegram等平台协同作案，以创新手法规避传统安全防护。

20. 勒索软件团伙瞄准SAP NetWeaver漏洞全球关键基础设施面临风险

【BleepingComputer网站5月14日报道】SAP NetWeaver Visual Composer的严重漏洞（CVE-2025-31324）正被多国黑客组织大规模利用。网络安全公司ReliaQuest发现，俄罗斯勒索软件团伙BianLian和RansomEXX已加入攻击行列，尝试部署PipeMagic后门和Brute Ratel C2框架。与此同时，中国APT组织（如UNC5221等）也被证实利用该漏洞入侵至少581个全球关键系统，包括美英沙特的工业控制系统。该漏洞允许未认证攻击者上传恶意文件实现远程代码执行，SAP已于4月24日发布补丁。美国CISA要求联邦机构在5月20日前完成修补，建议企业立即更新或禁用Visual Composer服务。

21. 黑客利用GovDelivery进行TxTag“收费”钓鱼攻击

【Cybersecuritynews网站5月14日报道】一项复杂的网络钓鱼行动利用被盗用的印第安纳州政府发件人账户来分发欺诈性的TxTag收费信息。攻击者利用GovDelivery通讯平台，为针对全国毫无戒心的收件人的诈骗电子邮件提供合法性。这些网络钓鱼电子邮件看似来自合法的印第安纳州政府电子邮件地址，例如[email protected]，告知收件人虚假的未付通行费。攻击者利用新注册的相似域名托管令人信服的TxTag支付门户，这些门户专门用于收集敏感信息。技术分析揭示了攻击者采用的复杂数据泄露方法，包括通过POST请求收集受害者信息和维持持久的WebSocket连接以实现实时会话监控。印第安纳州技术办公室（IOT）证实，此次网络钓鱼活动源于涉及前政府承包商的安全漏洞，该承包商的账户在合同结束后未被删除，导致攻击者获得了访问GovDelivery电子邮件分发功能的权限。印第安纳州州务卿迭戈·莫拉莱斯发出紧急警告，提醒居民谨慎对待此类邮件。安全专家建议收件人避免点击可疑链接、将可疑信息转发给有关部门、联系信用卡提供商，并通过官方渠道验证收费费用。这一事件凸显了政府通信系统被武器化的风险，强调了安全供应商管理实践的重要性。