文章总结： 本周网络安全重点包括美军实施网络攻击干扰伊朗防空，网络战实战化；微软计划未来Windows默认禁用NTLM协议；Chrome紧急修复高危内存漏洞；MongoDB因配置错误遭大规模勒索；Notepad++更新机制被劫持植入恶意软件；新型钓鱼利用PDF窃取凭证；RondoDox僵尸网络控制超9万台设备。建议企业及时更新系统、严格配置安全策略并防范供应链攻击。 综合评分： 85 文章分类： 威胁情报,漏洞预警,安全大事件,供应链安全,恶意软件

网络安全一周大事记（20260206期）

网络安全研究站

2026年2月6日 07:00 浙江

为了让大家在繁杂的信息流中快速抓住重点，我们从全球安全情报精选了本周（1月30日-2月5日）最具影响力的10条新闻。无论是企业决策者、技术从业者还是普通用户，这份清单都将为你提供不可或缺的安全视野。#新闻 #资讯 #信息安全

本周大事

1. 【实战】美军“午夜之锤行动”曝光：网络司令部攻击伊朗防空系统，为战机开辟通道
2. 【退役】微软敲响NTLM“退休”钟声，将在未来Windows中默认禁用该老旧协议
3. 【紧急】Chrome发布紧急更新：修复可致远程代码执行的两个高危内存漏洞
4. 【事件】MongoDB实例正遭大规模勒索攻击：超20万台数据库暴露在公网，安全配置缺失成主因
5. 【规避】ASUS“文件粉碎机”功能自曝漏洞：官方选择彻底移除而非修复
6. 【武器】暗网新型OT攻击框架浮现，能源基础设施面临威胁
7. 【供应链】Notepad++官方更新机制遭国家级黑客组织劫持，定向用户被植入恶意软件
8. 【演进】新型钓鱼攻击瞄准企业用户：利用“干净”邮件与PDF，通过Vercel与Telegram窃取Dropbox凭证
9. 【加固】Windows 11 新增安全功能：禁止未经授权访问系统文件
10. 【僵尸】RondoDox僵尸网络利用React2Shell高危漏洞，已控制超9万台路由器和智能设备

1

美军“午夜之锤行动”曝光：网络司令部攻击伊朗防空系统，为战机开辟通道

新闻概览

据美国媒体2026年2月5日援引多名知情官员消息披露，美军在针对伊朗核设施的“午夜之锤行动”中，美国网络司令部对伊朗的防空导弹系统实施了协同网络攻击。此次攻击旨在干扰与福尔多、纳坦兹和伊斯法罕等核设施相连的独立军事系统，阻止伊朗向进入领空的美国战机发射地对空导弹。官员描述，攻击并非直接渗透核心设施，而是通过打击网络中的“目标点”（如路由器、服务器等外围设备）来破坏依赖复杂组件链的军事系统。美军高层对此类网络行动的评价显著提升，参谋长联席会议主席公开赞扬了网络司令部在行动中的贡献，联合参谋部更是成立了“非动能效应小组”，旨在将网络能力全面整合到全球军事行动计划与执行中。此次行动连同此前干扰委内瑞拉电网的“绝对决心行动”一同表明，美军正将网络武器视为与导弹等传统动能武器平齐的常规作战手段，网络战的实战化与常态化趋势日益清晰。

原文链接

https://www.secrss.com/articles/87631

2

微软敲响NTLM“退休”钟声，将在未来Windows中默认禁用该老旧协议

新闻概览

为应对现代安全威胁，微软正式宣布了一项分三个阶段实施的路线图，计划在未来版本的Windows操作系统中逐步减少、限制并最终默认禁用已有超过30年历史的NTLM认证协议。NTLM长期以来作为Kerberos协议不可用时的备用认证机制，但其固有的加密弱点使其容易遭受重放、中继和哈希传递等多种攻击，给企业环境带来显著风险。此次过渡旨在推动全面采用更强大的、基于Kerberos的认证机制。根据规划，第一阶段（当前）侧重于提供全面的审计工具，以识别系统内NTLM的使用情况；第二阶段（2026年下半年）将致力于在原本会回退至NTLM的场景中启用Kerberos；第三阶段将在未来的Windows版本中默认关闭NTLM。微软强调，此举并非完全移除NTLM，为保障向后兼容，该协议将保留在系统中，必要时仍可通过策略重新启用，以确保依赖旧协议或定制应用的业务平稳过渡。企业应立即开始审计NTLM使用、迁移依赖项至Kerberos，并在非生产环境中测试禁用NTLM的配置。

原文链接：

Microsoft to Disable NTLM by Default as a Step Towards More Secure Authentication

3

Chrome发布紧急更新：修复可致远程代码执行的两个高危内存漏洞

新闻概览

谷歌近日为Chrome稳定版频道发布了一项关键安全更新，紧急修复了两个被评定为“高危”级别的安全漏洞。这两个漏洞均源于内存安全问题，可能允许攻击者通过诱导用户访问恶意网页，在浏览器渲染进程中触发漏洞，从而实现远程任意代码执行或导致浏览器崩溃的拒绝服务攻击。其中，CVE-2026-1862 是存在于V8 JavaScript引擎中的“类型混淆”漏洞，攻击者可利用此漏洞操纵内存指针，突破沙箱限制执行代码。另一个漏洞 CVE-2026-1861 则位于libvpx视频编解码库中，是一个“堆缓冲区溢出”漏洞，攻击者通过嵌入恶意构造的视频流，可在解码时破坏堆内存。目前谷歌尚未披露这两个漏洞是否已被在野利用，但鉴于其类型和严重性，被武器化的风险极高。更新已将Chrome版本推送至144.0.7559.132/.133（Windows/macOS）及144.0.7559.132（Linux），强烈建议所有企业管理员和用户立即通过“菜单 > 帮助 > 关于Google Chrome”检查并完成更新。

原文链接：

Chrome Vulnerabilities Let Attackers Execute Arbitrary Code and Crash System

4

MongoDB实例正遭大规模勒索攻击：超20万台数据库暴露在公网，安全配置缺失成主因

新闻概览

威胁行为者正针对暴露在公网上的MongoDB实例发起大规模自动化勒索攻击。攻击模式高度一致：利用扫描工具寻找未配置身份验证、在默认端口27017上公开访问的MongoDB数据库，随后清空其中数据并插入索要比特币的勒索纸条。尽管单笔赎金通常在500至600美元，但此类攻击依然利润丰厚，数据显示约45.6% 完全暴露的实例已被攻击。据互联网范围扫描，目前有超过20万台 MongoDB服务器可公开访问，其中约3100个实例确认处于完全无防护状态。问题的根源主要在于部署配置错误，而非软件漏洞。许多流行的Docker镜像默认将MongoDB绑定到所有网络接口且不启用认证，开发者若直接将其用于生产环境，便无意中将数据库暴露于风险之中。安全专家强烈建议组织立即审计MongoDB部署，通过实施网络隔离、强制启用SCRAM认证、配置防火墙规则阻断公网访问等方式，从根本上消除这一长期存在的威胁面。

原文链接：

Hackers Attacking MongoDB Instances to Delete Database and Add Ransom Note

5

ASUS“文件粉碎机”功能自曝漏洞：官方选择彻底移除而非修复

新闻概览

华硕（ASUS）近日为其商用电脑产品线发布了一项强制性安全更新，但该更新的处理方式颇为特殊：并非修复漏洞，而是彻底移除了存在问题的核心安全功能——“文件粉碎机”。该功能旨在永久删除敏感数据，但其底层驱动却被发现存在一个高危漏洞（CVE-2025-13348，CVSS评分8.5）。漏洞根源在于权限控制不当，本地攻击者可发送特制请求，诱使驱动在指定路径创建任意文件。利用此能力，攻击者可以覆盖关键系统文件、植入恶意脚本或绕过其他安全限制。鉴于修复风险，华硕最终决定采取“一刀切”的解决方案，在最新版本的ASUS Business Manager（V3.0.37.0及以上）中直接弃用并完全移除“文件粉碎机”功能。这意味着更新后，该功能按钮将消失，依赖此工具进行数据销毁的企业需寻找第三方替代方案。华硕强调，此更新仅针对商用电脑，消费级型号不受影响。相关管理员应立即通过MyASUS Live Update或官网支持页面手动下载并安装此更新。

原文链接：

ASUS Kills “File Shredder” Feature to Fix Critical Flaw

6

暗网新型OT攻击框架，能源基础设施面临威胁

新闻概览

网络安全公司Lab52的研究人员近日在暗网发现一款名为“APT IRAN”的组织正在推广的新型攻击性工控系统框架。该工具包自称是“迄今为止最全面的工业和军事控制网络框架”，旨在针对能源电网和军事网络，并特别宣称具备“精确操控电力分配系统”的能力，包括选择性控制电路、破坏负载平衡和进行设备压力测试。其攻击手法专注于IEC 61850和IEC 61970等电力设施广泛使用的标准工业协议，意图实现对物理电网的精细控制。研究人员发现了该组织与伊朗伊斯兰革命卫队之间的关联线索，表明其能力与组织复杂程度可能超出此前预期。尽管无法完全排除其为“蜜罐”诱饵的可能性，但该工具详细的功能描述、针对的特定协议及其销售页面的突然下线，均暗示这并非简单的骗局，而可能标志着国家背景的攻击者对关键基础设施（尤其是能源领域）的网络攻击能力正危险地扩散与下沉。

原文链接：

New Offensive OT Framework Targeting Energy Infrastructure Emerges on Dark Web

7

Notepad++官方更新机制遭国家级黑客组织劫持，定向用户被植入恶意软件

新闻概览

在流行文本编辑器Notepad++的维护者近日披露，其官方软件更新机制遭到了一次隐蔽且高度定向的攻击。此次攻击并非利用Notepad++自身的代码漏洞，而是其托管服务提供商的基础设施遭到入侵，导致部分用户的更新流量被劫持并重定向至恶意服务器。攻击据信始于2025年6月，持续了超过半年时间。独立安全研究员指出，此漏洞被与中国有关联的国家级威胁组织 “紫台风” 所利用，主要针对东亚地区的电信和金融服务机构网络，诱骗目标下载恶意软件。作为应对，Notepad++团队已将网站迁移至安全实践更严格的新托管商，并加强了更新流程的完整性验证。此次事件再次凸显了软件供应链中，第三方基础设施安全对终端用户构成的潜在重大风险。

原文链接：

https://thehackernews.com/2026/02/notepad-official-update-mechanism.html

8

新型钓鱼攻击瞄准企业用户：利用“干净”邮件与PDF，通过Vercel与Telegram窃取Dropbox凭证

新闻概览

网络安全公司Forcepoint的研究人员发现了一种针对企业用户的新型多阶段钓鱼骗局。攻击者摒弃了传统的恶意链接或附件，转而使用外观高度专业的业务邮件（通常关于“招标”或“采购”）作为诱饵，邮件本身完全“干净”，所有恶意行为均隐藏在其携带的PDF附件中。该PDF利用AcroForms等技术，在文档内嵌了隐藏的点击按钮。用户点击后，会被重定向至托管在合法云服务Vercel Blob存储上的第二层文件，以此规避安全软件对可疑网址的封锁。最终，受害者被导向一个高度仿真的虚假Dropbox登录页面。一旦输入凭证，脚本不仅会窃取邮箱和密码，还会收集用户的IP地址、地理位置及设备信息，并通过一个硬编码的Telegram机器人将数据直接发送至攻击者控制的私密频道。整个攻击链条设计缜密，利用了对PDF的信任和知名云服务的信誉，极具隐蔽性。安全专家提醒，对任何在商业文档流程中突然要求登录的行为，都应保持高度警惕并仔细核查。

原文链接：

Phishing Scam Uses Clean Emails and PDFs to Steal Dropbox Logins

9

Windows 11 新增安全功能：禁止未经授权访问系统文件

新闻概览

微软在2026年1月面向Windows 11（版本24H2与25H2）发布的最新非安全预览更新中，引入了一项重要的本地安全强化功能。该功能旨在保护操作系统中的敏感区域，特别是“设置”应用中的“存储”管理界面。此前，任何能访问已解锁Windows会话的用户均可查看驱动器使用详情、临时文件及系统预留存储等详细信息。安装此次更新后，系统将在此入口处强制执行用户账户控制检查点，当用户尝试访问存储设置时，会触发UAC提示，要求提供管理员凭据才能继续。这一改动有效缓解了“肩窥”或通过物理接触、远程非管理员会话等方式进行未授权数据操作的风险。目前该更新处于可选的“C发布”预览阶段，允许管理员在2月“补丁星期二”将其作为强制性安全更新全面部署前进行测试。此外，本次更新还同步升级了集成于Windows 11的底层AI框架，更新了本地处理所用的多个模型组件，并包含一个确保未来累积更新可靠安装的服务堆栈更新。

原文链接：

Windows 11 New Security Feature Denies Unauthorized Access to System Files

10

RondoDox僵尸网络利用React2Shell高危漏洞，已控制超9万台路由器和智能设备

新闻概览

网络安全公司CloudSEK披露，一个名为 RondoDox 的僵尸网络正在积极利用Next.js框架中的高危漏洞 React2Shell ，大规模劫持各类联网设备。该漏洞允许攻击者无需密码即可远程控制服务器或设备。根据Shadowserver Foundation的数据，截至2025年底，全球有超过90,300台 系统暴露于此漏洞之下，其中美国受影响最严重（超6.8万台），德国、法国和印度亦有大量设备存在风险。攻击者的行动分为三个阶段：年初试探性利用基础Web漏洞，夏季开始大规模扫描WordPress、Drupal平台及家用Wavlink路由器，至年底已实现完全自动化攻击。RondoDox的攻击目标极为广泛，包括使用受影响Next.js或WordPress构建的网站，以及D-Link、Netgear等品牌的家用路由器和智能摄像头等物联网设备。一旦入侵，攻击者会部署多种恶意负载，如加密货币挖矿程序、用于扩散的Mirai变种，以及一个每45秒扫描一次以清除竞争恶意软件的“健康检查器”。安全专家建议网站管理员立即为Next.js应用安全更新，家庭用户则应将智能设备隔离到专用网络，并及时更新路由器固件。

原文链接：

RondoDox Botnet is Using React2Shell to Hijack Thousands of Unpatched Devices

如果您觉得本文有价值，欢迎点击关注。本站将持续追踪全球安全态势，每周五更新重要新闻情报，为您带来第一手的深度解读与前沿干货。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全研究站 《网络安全一周大事记（20260206期）》