1. Windows 错误报告服务漏洞允许攻击者提升权限(CVE‑2026‑20817)
一个影响Windows Error Reporting(WER)服务的严重本地权限提升漏洞CVE‑2026‑20817,该漏洞允许具有普通用户权限的攻击者提升到 SYSTEM级别权限,从而可能完全控制受影响系统。WER是Windows 中处理错误报告的重要后台服务,运行在NT AUTHORITY\SYSTEM 级别,并通过 ALPC(Advanced Local Procedure Call,本地进程通信)端口接受请求。漏洞的核心在于服务在处理客户端创建进程请求时未对调用者权限进行充分检查,这使得攻击者可以发送精心构造的消息,在没有正确权限验证的情况下生成新的 SYSTEM 权限进程。
具体来说,该漏洞出现在WER服务的内部函数处理中,攻击者能够利用不安全的ALPC通信通过控制共享内存里构造的命令行参数,触发调用 CreateElevatedProcessAsUser等高权限进程创建路径,让 WerFault.exe这类正常执行程序带着SYSTEM权限启动并执行攻击者控制的操作。分析表明,漏洞核心模块如UserTokenUtility会基于WER的 SYSTEM Token创建新的令牌,并保留诸如SeDebugPrivilege、SeImpersonatePrivilege、SeBackupPrivilege 等高权限,这些权限足以进行凭证窃取、内核调试、绕过安全措施甚至完全控制系统。
微软在2026年1月的补丁中修复了这个漏洞,但修复方式极端 —— 直接禁用了导致风险的功能,而不是添加完整的权限检查逻辑。研究人员指出,这通常意味着该功能原本不应对外部API暴露。由于漏洞的利用链条相对简单且攻击复杂度低,该问题被标记为“更有可能被利用”,组织应尽快应用补丁。未及时修复的环境应加强对异常WerFault.exe或WerMgr.exe进程创建行为的监控,对拥有SYSTEM Token的进程异常活动提高警惕。文章强调,这类设计缺陷突出了对高权限服务实施严格授权检查的重要性。
总结来说,CVE‑2026‑20817是一个高危的本地权限提升漏洞,影响 Windows 的错误报告服务,可能允许低权限用户获得系统级控制权限。在补丁发布后存在 PoC(概念验证)代码被公开,企业需要迅速部署补丁并加强本地权限提升攻击的检测。
2. Linux 工具中植入恶意代码的供应链安全风险
在Linux工具链中常用的xz压缩工具及库(尤其版本5.6.0和5.6.1) 中被发现恶意代码注入,这种恶意植入可导致未经授权的访问,并存在极高的安全风险。xz 工具是用于压缩和解压数据的重要基础组件,几乎存在于所有主流 Linux 发行版中,因此其安全性至关重要。
安全研究人员发现,这次恶意代码并非明显可见,而是通过高度混淆的宏和构建流程隐藏在完整的软件包中,并在编译期间生成隐藏的恶意功能。这些恶意代码最终会干扰sshd的认证流程(通过 systemd),从而可能使攻击者绕过正常的 SSH 身份验证机制,直接获得完整的远程访问权限。鉴于 SSH 是 Linux 系统远程管理的基础协议,一旦 SSH 身份验证被破坏,就意味着攻击者几乎能无限制访问和控制目标系统。
Red Hat的公告指出,恶意代码主要出现在 Fedora Rawhide 和 Fedora Linux 40 beta 构建版本中,未影响到Red Hat Enterprise Linux(RHEL)正式版,但也确认Debian不稳定版和部分openSUSE发行版的构建环境进行了受影响的包生成。因此,管理员需要特别关注这些版本的部署和更新情况。由于xz工具的广泛性,这类供应链风险能对整个 Linux 生态系统产生深远的影响。
针对这一问题,Red Hat强烈建议立即停止使用受影响版本的Linux发布版本,并将 xz 降级到已知安全的5.4.x 版本。安全团队还应扫描基础设施中可能存在的受影响版本,并尽快将其替换或重新构建,以防止攻击者利用该恶意代码进行入侵或横向移动。此外,这一事件强调了软件供应链安全的重要性——不仅仅是部署安全补丁,还需要对构建工具和第三方组件的完整性实施严格验证。
总的来说,这起事件是软件供应链威胁的典型案例,恶意代码悄然植入基础组件构建流程,可能导致严重的远程访问安全风险。Linux 社区和系统管理员需要改进对构建和发布包的验证措施,并及时响应供应链安全通告。
3. 银狐针对日本企业的税务主题鱼叉式钓鱼活动
Silver Fox高级威胁组织发起的针对日本企业的税务主题钓鱼攻击活动,该组织利用企业税季的敏感时机,通过高度定制化的钓鱼邮件施加攻击。Silver Fox自2023年起活跃,原本主要针对中文环境用户,但随着行动的发展,其攻击范围已扩展至日本、东南亚乃至北美等地区。
这次活动针对制造业和其他行业企业,在邮件主题和内容上进行了深入的侦察和伪造,使其看起来像是内部财务、税务或人力资源相关的正常通信。邮件通常包含受害公司名称,并指向伪装成看似合法的链接或附件。一旦用户点击这些链接或下载附件,很可能触发恶意文件的下载。研究人员指出,这些链接往往托管于知名的公共文件分享服务上,例如 gofile[.]io 或WeTransfer,这种做法增加了钓鱼页面欺骗性并使其更难被自动化安全系统识别。
文章特别指出,这些邮件载有恶意执行文件或者诱导受害者下载包含恶意软件的压缩文件。常见恶意载荷是ValleyRAT这一远程访问木马。一旦安装,ValleyRAT 会在受感染系统上保持持久化存在,使攻击者能够窃取敏感信息、监视用户活动、远程控制机器并展开后续攻击。因为该木马具备持久化特性,它可以在系统重启后继续运行,增加了清除感染的难度。
Silver Fox 的攻击不仅仅是随机大规模轰炸,而是经过针对性 reconnaissance(侦察)——攻击者获取员工名单、CEO名字等信息,并将这些细节用于伪造专业可信的邮件发送者和主题。这种社会工程学的成熟程度,使得这种攻击很难通过简单的邮件过滤规则或传统沙箱检测机制阻挡。文章还引用安全分析师建议,例如在执行任何涉及薪资变化、税务罚款或人事更新的操作前,通过其他通信渠道 双重验证发件人身份,以及检查邮件地址是否与显示名称匹配等。
总结来说,这次Silver Fox针对日本企业的钓鱼活动说明了APT级别威胁能巧妙利用业务周期和高度定制邮件进行社会工程攻击,突出了在现代企业防护中加强邮件安全、员工培训和针对性威胁检测的重要性。
