摘要：各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

当地时间12月17日，爱尔兰数据保护委员会（DPC）以Facebook涉嫌泄露2900万用户个人数据，违反了《通用数据保护条例（GDPR）》相关规定为由，对其母公司 Meta 处以 2.51亿欧元（约2.64亿美元）罚款。

2. APT组织开始大量抄袭红队先进的战术和工具

近日，安全研究人员调查后发现，臭名昭著的APT组织Earth Koshchei（也被称为APT29或Midnight Blizzard）与一项大规模非法远程桌面协议（RDP）的恶意活动相关。

3. 密码将死？微软无密码时代取得重大进展

微软在迈向无密码时代的重要一步中宣布了一项重大进展：推出了一种安全且用户友好的密码替代方案——通行证。

4. 知名间谍软件公司 Paragon 被美国私募收购

据以色列新闻媒体报道，一家美国私募股权公司已完成对以色列间谍软件公司Paragon的收购交易。

5. CISA发布2024年首个云安全操作指令

12月17日，CISA 发布了今年第一部具有约束力的操作指令《绑定操作指令25-01：实施云服务安全实践》（BOD 25-01指令 ），要求美国联邦民事机构实施一系列必需的安全配置基线（SCB）以保护其云环境。

网络安全和基础设施安全局（CISA）已将两个新的漏洞添加到其已知被利用漏洞目录中，其中一个是涉及 Windows 内核的漏洞，目前正被用于攻击。

2. iOS和macOS系统曝关键漏洞，可破坏TCC框架

近日，苹果iOS和macOS系统中被曝光一个关键的安全漏洞，若被成功利用，可能会绕过透明度、同意和控制（TCC）框架，导致用户敏感信息被未经授权访问。漏洞编号CVE-2024-44131，存在于文件提供组件中，苹果通过在iOS 18、iPadOS 18和macOS Sequoia 15中增强符号链接的验证来修复此问题。

3. 针对安全人员，攻击者窃取了39万个WordPress凭证

一个被标记为 MUT-1244 的攻击者利用植入木马的 WordPress 凭证检查器进行了一次规模庞大、长达一年的攻击活动，盗取了超过 39 万个 WordPress 凭证。

4. 黑客通过虚假品牌赞助攻击YouTube视频创作者

网络安全专家发现了一波针对Youtube创作者的攻击，攻击者利用钓鱼邮件，冒充品牌方与这些创作者进行合作沟通，以此来传播恶意软件。

5. Apache Tomcat新漏洞允许攻击者执行远程代码

安全研究人员在流行的开源 Web 服务器 Apache Tomcat和servlet 容器中发现了两个严重漏洞，可能允许攻击者执行远程代码并导致拒绝服务。

HOST碰撞的概念已提出很久了，但是网上的部分文章感觉都解释得不太详细，本文是一篇新手师傅也能看懂的HOST碰撞的文章，解释清楚HOST碰撞到底原理是啥，怎么利用，怎么修复。

2. java代码审计 | struts2框架路由详解

本文详细讲解遇到java的struts2框架的时候，在不借助工具的情况下如何进行审计，毕竟了解原理才是正解，而不是只会用工具。

3. 电子数据取证 | 一次电子数据取证的尝试与反思

笔者未曾接受过系统的专业数据取证培训，很多思路和方法都来源于个人的理解、学习和实践过程。在整个取证过程中，尽管存在许多困难与挑战，但最终通过不断尝试与调整，成功获取了所需的证据。

PowerHub是一款基于Web应用程序的渗透测试数据传输与端点管理工具，该工具可以帮助渗透测试人员传输数据，尤其是那些被端点保护标记的代码。

2. Obfuscar：一款针对.NET程序的开源代码混淆工具

Obfuscar是一款针对.NET程序的开源代码混淆工具，该工具支持使用大量重载将 .NET 程序集中的元数据（包括方法、属性、事件、字段、类型和命名空间的名称）重命名为最小集合，在大多数情况下仅通过签名即可区分。

3. GraphRunner：能够与Microsoft Graph API 交互的安全渗透工具

GraphRunner 是一款用于与 Microsoft Graph API 交互的安全测试工具，该工具专为红队和蓝队研究人员设计，可以帮助针对Microsoft Entra ID (Azure AD) 帐户执行网络安全侦查和取证等任务。

来源：FreeBuf