《安联智库-网安周报》2022-04-17

1、在ESET和微软帮助下 乌克兰成功阻止针对能源设施的网络攻击

Bleeping Computer 网站消息，谷歌发布了适用于 Windows、Mac 和 Linux 的更新版本 Chrome 100.0.4896.127，以解决一个在野被利用高严重性零日漏洞（CVE-2022-1364）。攻击者可以通过类型混淆漏洞读取或写入超出缓冲区范围的内存，导致浏览器系统崩溃。除此之外，攻击者也可以利用该漏洞执行任意代码。

谷歌方面表示，Chrome 浏览器的更新版本将在未来几周内推出。目前，用户可以进入 Chrome 菜单>帮助>关于谷歌浏览器，立即收到更新。另外，浏览器也会自动检查更新，在用户关闭和重新启动谷歌浏览器时安装更新版本。

谷歌方面强调，该漏洞正在被积极利用，强烈建议用户手动检查更新并重新启动浏览器应用新版本。

3、又一家NFT平台曝出重大漏洞

以色列网络安全厂商Check Point发布报告称，全球最大的不可替代代币（NFT）市场之一Rarible曝出安全漏洞，可能允许恶意黑客在交易过程中窃取用户的NFT与加密货币。

研究人员表示，网络犯罪分子发现一种创建恶意NFT的方法。只要点击恶意NFT链接，攻击者就能完全控制受害者的加密货币钱包并窃取钱包中的资金。

Rarible平台未回复置评请求。据Check Point透露，该平台已经在4月5日的披露说明中承认存在此问题，“相信Rarible将在接下来的版本中部署修复程序。”

典型的Rarible漏洞利用流程如下：

首先，黑客会向受害者发送一条恶意NFT链接；

之后，该恶意NFT会“执行JavaScript代码，并尝试向受害者发送setApprovalForAll请求”。

如此一来，受害者将在无意间回复请求，泄露自己NFT或加密货币的完全访问权限。

周杰伦就在4月初不幸成为这一攻击手法的受害者。当时他点击了一个恶意NFT，无意中让黑客窃取了他的Bored Ape NFT 3738访问权限。

Check Point解释称，“在周杰伦提交请求将NFT访问权限泄露给恶意黑客后，对方立即将NFT转移到了自己的钱包中，随后在市场上以50万美元价格卖出。”

4 月 16 日消息，据 Surfshark 的一项研究表明，自 3 月俄罗斯入侵乌克兰开始以来，俄罗斯账户遭到入侵的数量比 2 月增加了 136%。与此同时，乌克兰出现的泄露数量比战前季度减少了 67%。

这些数字很可能是由黑客组织 Anonymous 在冲突开始时宣布将针对俄罗斯的事实驱动的。

“泄露的电子邮件、密码、电话号码，甚至更敏感的数据池通常在暗网上出售，以供以后用于网络钓鱼攻击、勒索软件甚至身份盗窃。从我们的最新数据中可以看出，一些国家在过去的几个月里，比其他人更容易受到这种情况的影响。”