要聞速覽

1、中國人民銀行等六部門聯(lián)合印發(fā)《促進(jìn)和規(guī)范金融業(yè)數(shù)據(jù)跨境流動合規(guī)指南》

2、教育部等九部門印發(fā)《關(guān)于加快推進(jìn)教育數(shù)字化的意見》

3、最后一刻的“緩刑”：CISA緊急延長CVE項目資金支持

4、Windows 11高危漏洞：300毫秒即可提權(quán)至管理員

5、全球芯片制造商遭遇有組織零日漏洞攻擊，供應(yīng)鏈安全面臨嚴(yán)峻挑戰(zhàn)

6、腎透析巨頭DaVita遭遇勒索軟件攻擊，部分運營受影響

一周政策要聞

中國人民銀行等六部門聯(lián)合印發(fā)《促進(jìn)和規(guī)范金融業(yè)數(shù)據(jù)跨境流動合規(guī)指南》

為貫徹落實黨的二十屆三中全會精神，推動金融高水平開放，中國人民銀行、金融監(jiān)管總局、中國證監(jiān)會、國家外匯局、國家網(wǎng)信辦、國家數(shù)據(jù)局近期聯(lián)合印發(fā)《促進(jìn)和規(guī)范金融業(yè)數(shù)據(jù)跨境流動合規(guī)指南》（以下簡稱《指南》）。

《指南》旨在促進(jìn)中外資金融機構(gòu)金融業(yè)數(shù)據(jù)跨境流動更加高效、規(guī)范，進(jìn)一步明確數(shù)據(jù)出境的具體情形以及可跨境流動的數(shù)據(jù)項清單，便利數(shù)據(jù)跨境流動。《指南》要求金融機構(gòu)采取必要的數(shù)據(jù)安全保護(hù)管理和技術(shù)措施切實保障數(shù)據(jù)安全。

下一步，中國人民銀行將會同相關(guān)部門根據(jù)《指南》實施情況及效果，不斷優(yōu)化完善，持續(xù)推動金融高水平開放。

信息來源：中國人民銀行 https://mp.weixin.qq.com/s/4knEGzLuwT0ogzvd3LhSAg

教育部等九部門印發(fā)《關(guān)于加快推進(jìn)教育數(shù)字化的意見》

為貫徹落實《教育強國建設(shè)規(guī)劃綱要（2024—2035年）》，以教育數(shù)字化為重要突破口，開辟教育發(fā)展新賽道和塑造發(fā)展新優(yōu)勢，全面支撐教育強國建設(shè)，近日教育部等九部門聯(lián)合發(fā)布《關(guān)于加快推進(jìn)教育數(shù)字化的意見》。

消息來源：中華人民共和國教育部 http://www.moe.gov.cn/srcsite/A01/s7048/202504/t20250416_1187476.html

業(yè)內(nèi)新聞速覽

最后一刻的“緩刑”：CISA緊急延長CVE項目資金支持

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）宣布，美國政府已延長對MITRE的資金支持，以確保通用漏洞和暴露（CVE）項目的關(guān)鍵服務(wù)不會中斷。這一決定是在MITRE副總裁Yosry Barsoum警告政府資金可能于4月16日到期后做出的。據(jù)了解，此次合同延期為期11個月。

CVE項目由MITRE維護(hù)，為討論安全漏洞提供準(zhǔn)確性、清晰度和共享標(biāo)準(zhǔn)，資金來自美國國土安全部（DHS）的國家網(wǎng)絡(luò)安全部門。CISA表示，CVE項目對網(wǎng)絡(luò)安全社區(qū)至關(guān)重要，是該機構(gòu)的優(yōu)先事項。合同延期執(zhí)行后，CVE服務(wù)將繼續(xù)運行，不會出現(xiàn)中斷。

在CISA宣布此消息前，一群CVE董事會成員宣布成立非營利組織CVE基金會，旨在確保CVE項目的獨立性。該基金會計劃在未來幾天發(fā)布更多關(guān)于過渡計劃的信息。與此同時，歐洲網(wǎng)絡(luò)與信息安全局（ENISA）也推出了歐洲漏洞數(shù)據(jù)庫（EUVD），采用多方利益相關(guān)者方法，從多個來源收集公開可用的漏洞信息。

消息來源：FREEBUF https://mp.weixin.qq.com/s/810DZUWv0kBfQcOTdvUjVQ

Windows 11高危漏洞：300毫秒即可提權(quán)至管理員

Windows 11 存在一個嚴(yán)重漏洞，攻擊者可在短短 300 毫秒內(nèi)從低權(quán)限用戶提升至系統(tǒng)管理員權(quán)限。

該漏洞編號為 CVE-2025-24076，通過精密的 DLL 劫持技術(shù)利用 Windows 11“移動設(shè)備”功能的缺陷。安全研究人員于 2024 年 9 月發(fā)現(xiàn)此漏洞，并于 2025 年 4 月 15 日公開披露，其攻擊目標(biāo)是 Windows 11 攝像頭功能加載的 DLL 文件。

研究人員發(fā)現(xiàn)，位于用戶可修改目錄 %PROGRAMDATA%\CrossDevice\ 下的 CrossDevice.Streaming.Source.dll 文件會先由普通用戶進(jìn)程加載，隨后被高權(quán)限系統(tǒng)進(jìn)程加載。

Compass Security 公司的 John Ostrowski 表示：“這個漏洞是典型的 DLL 劫持場景，但包含極具挑戰(zhàn)性的時間控制因素，攻擊窗口期極短——僅有 300 毫秒，但我們開發(fā)了可靠的技術(shù)手段實現(xiàn)穩(wěn)定利用?！?

一、Windows 11 權(quán)限提升漏洞技術(shù)細(xì)節(jié)：

漏洞利用過程面臨多項技術(shù)挑戰(zhàn)。研究人員最初使用 PrivescCheck 工具進(jìn)行自動化掃描，發(fā)現(xiàn)非特權(quán)用戶對 COM 服務(wù)器模塊文件具有修改權(quán)限：

為克服短暫的時間窗口，研究人員采用機會鎖（Opportunistic Locks）技術(shù)在關(guān)鍵時刻暫停程序執(zhí)行。通過微軟 Detours 庫，他們攔截了專門針對 GetFileVersionInfoExW 的 Windows API 調(diào)用，以確定可靠替換文件的時機。

研究人員創(chuàng)建了惡意 DLL 文件，該文件在保留原有功能的同時添加了未授權(quán)命令：

當(dāng)高權(quán)限進(jìn)程加載該 DLL 時，惡意代碼將以 SYSTEM 權(quán)限執(zhí)行。為確保被替換的 DLL 保持原有功能，研究人員實現(xiàn)了代理機制，將函數(shù)調(diào)用轉(zhuǎn)發(fā)至原始 DLL：

二、漏洞緩解措施：

Windows 11中“移動設(shè)備”功能存在兩個漏洞（CVE-2025-24076和CVE-2025-24994），影響使用手機作為網(wǎng)絡(luò)攝像頭的安全性。微軟已在2025年3月更新中發(fā)布修復(fù)補丁。專家建議實施嚴(yán)格的文件訪問控制、簽名驗證，并推薦部署端點檢測與響應(yīng)(EDR)方案來監(jiān)控異常行為以防護(hù)系統(tǒng)。

消息來源：51CTO https://www.51cto.com/article/813598.html

全球芯片制造商遭遇有組織零日漏洞攻擊，供應(yīng)鏈安全面臨嚴(yán)峻挑戰(zhàn)

近期，全球技術(shù)供應(yīng)鏈面臨嚴(yán)重威脅，一批復(fù)雜的威脅行為者發(fā)起了有組織的攻擊活動，利用半導(dǎo)體制造系統(tǒng)中的未知漏洞（零日漏洞）入侵領(lǐng)先芯片制造商的網(wǎng)絡(luò)。這些攻擊可能危及價值數(shù)百萬的知識產(chǎn)權(quán)，并威脅到從消費電子到國防系統(tǒng)等多個行業(yè)的生產(chǎn)能力。據(jù)DarkOwl研究人員發(fā)現(xiàn)，工業(yè)控制系統(tǒng)(ICS)、SCADA環(huán)境和芯片制造設(shè)備中的零日漏洞正在暗網(wǎng)論壇和私人通信渠道中公開交易，特別是ASML光刻系統(tǒng)和基于ARM的架構(gòu)。這些漏洞在地下市場上因其在間諜活動和破壞行動中的潛力而獲得高價。

攻擊者主要通過利用制造環(huán)境中常用的網(wǎng)絡(luò)邊緣設(shè)備中的漏洞，發(fā)起復(fù)雜的多階段攻擊鏈。初始入侵通常通過設(shè)備固件更新機制中的內(nèi)存損壞漏洞實現(xiàn)。一旦被利用，攻擊者會部署自定義開發(fā)的有效載荷，建立持久性訪問同時規(guī)避標(biāo)準(zhǔn)檢測方法。特別令人擔(dān)憂的是對電子設(shè)計自動化(EDA)工具中零日漏洞的利用。

該漏洞允許在解析特定文件格式時執(zhí)行任意代碼。惡意軟件與隱藏在TOR網(wǎng)絡(luò)中的命令和控制服務(wù)器建立通信，使歸因和檢測特別具有挑戰(zhàn)性。被入侵的系統(tǒng)隨后被用作在網(wǎng)絡(luò)中橫向移動的跳板，攻擊者專門針對包含知識產(chǎn)權(quán)和制造工藝細(xì)節(jié)的系統(tǒng)。在多個案例中，攻擊者能夠在被發(fā)現(xiàn)前維持持久訪問數(shù)月，提取大量專有數(shù)據(jù)并建立后門以供未來利用。

消息來源：安全牛 https://mp.weixin.qq.com/s/3loWWzAsa7WCIPqRX4pEYA

腎透析巨頭DaVita遭遇勒索軟件攻擊，部分運營受影響

美國最大腎臟護(hù)理服務(wù)提供商DaVita于周一（4月14日）披露，該公司在周末遭遇了勒索軟件攻擊，導(dǎo)致部分網(wǎng)絡(luò)系統(tǒng)被加密，運營受到影響。

作為美國腎臟護(hù)理領(lǐng)域的主要服務(wù)商，DaVita在全球12個國家運營超過2600個門診治療中心，為腎病患者提供透析服務(wù)。根據(jù)DaVita向美國證券交易委員會提交的8-K表格顯示，攻擊發(fā)生在周六（4月12日）。該公司在發(fā)現(xiàn)攻擊后立即啟動了響應(yīng)機制，實施了隔離措施，主動隔離受影響的系統(tǒng)。雖然攻擊和應(yīng)對措施對部分運營產(chǎn)生了不利影響，但公司已實施臨時措施協(xié)助恢復(fù)，并表示各設(shè)施的患者護(hù)理服務(wù)仍在繼續(xù)。

目前，對該事件的調(diào)查仍在進(jìn)行中，尚未確定攻擊的完整范圍，包括患者數(shù)據(jù)是否被竊取的可能性。截至發(fā)稿時，尚無勒索軟件組織宣稱對DaVita的攻擊負(fù)責(zé)。

消息來源：安全內(nèi)參 https://mp.weixin.qq.com/s/5L4421XPhl-5penwYRGhrw

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！