要聞速覽

1、中國人民銀行等六部門聯合印發(fā)《促進和規(guī)范金融業(yè)數據跨境流動合規(guī)指南》

2、教育部等九部門印發(fā)《關于加快推進教育數字化的意見》

3、最后一刻的“緩刑”：CISA緊急延長CVE項目資金支持

4、Windows 11高危漏洞：300毫秒即可提權至管理員

5、全球芯片制造商遭遇有組織零日漏洞攻擊，供應鏈安全面臨嚴峻挑戰(zhàn)

6、腎透析巨頭DaVita遭遇勒索軟件攻擊，部分運營受影響

一周政策要聞

中國人民銀行等六部門聯合印發(fā)《促進和規(guī)范金融業(yè)數據跨境流動合規(guī)指南》

為貫徹落實黨的二十屆三中全會精神，推動金融高水平開放，中國人民銀行、金融監(jiān)管總局、中國證監(jiān)會、國家外匯局、國家網信辦、國家數據局近期聯合印發(fā)《促進和規(guī)范金融業(yè)數據跨境流動合規(guī)指南》（以下簡稱《指南》）。

《指南》旨在促進中外資金融機構金融業(yè)數據跨境流動更加高效、規(guī)范，進一步明確數據出境的具體情形以及可跨境流動的數據項清單，便利數據跨境流動?！吨改稀芬蠼鹑跈C構采取必要的數據安全保護管理和技術措施切實保障數據安全。

下一步，中國人民銀行將會同相關部門根據《指南》實施情況及效果，不斷優(yōu)化完善，持續(xù)推動金融高水平開放。

信息來源：中國人民銀行 https://mp.weixin.qq.com/s/4knEGzLuwT0ogzvd3LhSAg

教育部等九部門印發(fā)《關于加快推進教育數字化的意見》

為貫徹落實《教育強國建設規(guī)劃綱要（2024—2035年）》，以教育數字化為重要突破口，開辟教育發(fā)展新賽道和塑造發(fā)展新優(yōu)勢，全面支撐教育強國建設，近日教育部等九部門聯合發(fā)布《關于加快推進教育數字化的意見》。

消息來源：中華人民共和國教育部 http://www.moe.gov.cn/srcsite/A01/s7048/202504/t20250416_1187476.html

業(yè)內新聞速覽

最后一刻的“緩刑”：CISA緊急延長CVE項目資金支持

美國網絡安全和基礎設施安全局（CISA）宣布，美國政府已延長對MITRE的資金支持，以確保通用漏洞和暴露（CVE）項目的關鍵服務不會中斷。這一決定是在MITRE副總裁Yosry Barsoum警告政府資金可能于4月16日到期后做出的。據了解，此次合同延期為期11個月。

CVE項目由MITRE維護，為討論安全漏洞提供準確性、清晰度和共享標準，資金來自美國國土安全部（DHS）的國家網絡安全部門。CISA表示，CVE項目對網絡安全社區(qū)至關重要，是該機構的優(yōu)先事項。合同延期執(zhí)行后，CVE服務將繼續(xù)運行，不會出現中斷。

在CISA宣布此消息前，一群CVE董事會成員宣布成立非營利組織CVE基金會，旨在確保CVE項目的獨立性。該基金會計劃在未來幾天發(fā)布更多關于過渡計劃的信息。與此同時，歐洲網絡與信息安全局（ENISA）也推出了歐洲漏洞數據庫（EUVD），采用多方利益相關者方法，從多個來源收集公開可用的漏洞信息。

消息來源：FREEBUF https://mp.weixin.qq.com/s/810DZUWv0kBfQcOTdvUjVQ

Windows 11高危漏洞：300毫秒即可提權至管理員

Windows 11 存在一個嚴重漏洞，攻擊者可在短短 300 毫秒內從低權限用戶提升至系統管理員權限。

該漏洞編號為 CVE-2025-24076，通過精密的 DLL 劫持技術利用 Windows 11“移動設備”功能的缺陷。安全研究人員于 2024 年 9 月發(fā)現此漏洞，并于 2025 年 4 月 15 日公開披露，其攻擊目標是 Windows 11 攝像頭功能加載的 DLL 文件。

研究人員發(fā)現，位于用戶可修改目錄 %PROGRAMDATA%\CrossDevice\ 下的 CrossDevice.Streaming.Source.dll 文件會先由普通用戶進程加載，隨后被高權限系統進程加載。

Compass Security 公司的 John Ostrowski 表示：“這個漏洞是典型的 DLL 劫持場景，但包含極具挑戰(zhàn)性的時間控制因素，攻擊窗口期極短——僅有 300 毫秒，但我們開發(fā)了可靠的技術手段實現穩(wěn)定利用?！?

一、Windows 11 權限提升漏洞技術細節(jié)：

漏洞利用過程面臨多項技術挑戰(zhàn)。研究人員最初使用 PrivescCheck 工具進行自動化掃描，發(fā)現非特權用戶對 COM 服務器模塊文件具有修改權限：

為克服短暫的時間窗口，研究人員采用機會鎖（Opportunistic Locks）技術在關鍵時刻暫停程序執(zhí)行。通過微軟 Detours 庫，他們攔截了專門針對 GetFileVersionInfoExW 的 Windows API 調用，以確定可靠替換文件的時機。

研究人員創(chuàng)建了惡意 DLL 文件，該文件在保留原有功能的同時添加了未授權命令：

當高權限進程加載該 DLL 時，惡意代碼將以 SYSTEM 權限執(zhí)行。為確保被替換的 DLL 保持原有功能，研究人員實現了代理機制，將函數調用轉發(fā)至原始 DLL：

二、漏洞緩解措施：

Windows 11中“移動設備”功能存在兩個漏洞（CVE-2025-24076和CVE-2025-24994），影響使用手機作為網絡攝像頭的安全性。微軟已在2025年3月更新中發(fā)布修復補丁。專家建議實施嚴格的文件訪問控制、簽名驗證，并推薦部署端點檢測與響應(EDR)方案來監(jiān)控異常行為以防護系統。

消息來源：51CTO https://www.51cto.com/article/813598.html

全球芯片制造商遭遇有組織零日漏洞攻擊，供應鏈安全面臨嚴峻挑戰(zhàn)

近期，全球技術供應鏈面臨嚴重威脅，一批復雜的威脅行為者發(fā)起了有組織的攻擊活動，利用半導體制造系統中的未知漏洞（零日漏洞）入侵領先芯片制造商的網絡。這些攻擊可能危及價值數百萬的知識產權，并威脅到從消費電子到國防系統等多個行業(yè)的生產能力。據DarkOwl研究人員發(fā)現，工業(yè)控制系統(ICS)、SCADA環(huán)境和芯片制造設備中的零日漏洞正在暗網論壇和私人通信渠道中公開交易，特別是ASML光刻系統和基于ARM的架構。這些漏洞在地下市場上因其在間諜活動和破壞行動中的潛力而獲得高價。

攻擊者主要通過利用制造環(huán)境中常用的網絡邊緣設備中的漏洞，發(fā)起復雜的多階段攻擊鏈。初始入侵通常通過設備固件更新機制中的內存損壞漏洞實現。一旦被利用，攻擊者會部署自定義開發(fā)的有效載荷，建立持久性訪問同時規(guī)避標準檢測方法。特別令人擔憂的是對電子設計自動化(EDA)工具中零日漏洞的利用。

該漏洞允許在解析特定文件格式時執(zhí)行任意代碼。惡意軟件與隱藏在TOR網絡中的命令和控制服務器建立通信，使歸因和檢測特別具有挑戰(zhàn)性。被入侵的系統隨后被用作在網絡中橫向移動的跳板，攻擊者專門針對包含知識產權和制造工藝細節(jié)的系統。在多個案例中，攻擊者能夠在被發(fā)現前維持持久訪問數月，提取大量專有數據并建立后門以供未來利用。

消息來源：安全牛 https://mp.weixin.qq.com/s/3loWWzAsa7WCIPqRX4pEYA

腎透析巨頭DaVita遭遇勒索軟件攻擊，部分運營受影響

美國最大腎臟護理服務提供商DaVita于周一（4月14日）披露，該公司在周末遭遇了勒索軟件攻擊，導致部分網絡系統被加密，運營受到影響。

作為美國腎臟護理領域的主要服務商，DaVita在全球12個國家運營超過2600個門診治療中心，為腎病患者提供透析服務。根據DaVita向美國證券交易委員會提交的8-K表格顯示，攻擊發(fā)生在周六（4月12日）。該公司在發(fā)現攻擊后立即啟動了響應機制，實施了隔離措施，主動隔離受影響的系統。雖然攻擊和應對措施對部分運營產生了不利影響，但公司已實施臨時措施協助恢復，并表示各設施的患者護理服務仍在繼續(xù)。

目前，對該事件的調查仍在進行中，尚未確定攻擊的完整范圍，包括患者數據是否被竊取的可能性。截至發(fā)稿時，尚無勒索軟件組織宣稱對DaVita的攻擊負責。

消息來源：安全內參 https://mp.weixin.qq.com/s/5L4421XPhl-5penwYRGhrw

來源:本安全周報所推送內容由網絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內容的真實性，部分內容推送時未能與原作者取得聯系，若涉及版權問題，煩請原作者聯系我們，我們會盡快刪除處理，謝謝！