文章总结： 工信部发布风险提示，提醒防范Windows远程桌面服务（RDS）权限提升高危漏洞（CVE-2026-21533），该漏洞已被用于实际攻击，影响范围包括Windows10/11及多个Server版本，建议用户及时升级系统或安装补丁。此外，一种新型社会工程攻击利用AI技术和浏览器权限滥用，窃取生物特征等敏感信息。同时，FBI与CISA联合预警MicrosoftIntune的安全风险，该风险与Stryker事件相关联。另外，美国司法部捣毁了四大僵尸网络，涉案设备超300万台，并查封了Stryker攻击的数据泄露站点。在攻防技术方面，勒索软件开始利用内核驱动（BYOVD攻击）绕过安全防护，且活跃的EDR杀手工具近90款。医疗福利服务商NaviaBenefitSolutions也发生大规模数据泄露，影响超269万人。谷歌则收紧了Android无障碍权限以封堵银行木马的攻击链。 综合评分： 90 文章分类： 漏洞分析,恶意软件,网络安全,应急响应,数据泄露

工信部：关于防范Windows远程桌面服务（RDS）权限提升高危漏洞的风险提示；AI 加持新型社工攻击 浏览器权限滥用致生物信息泄露 | 牛览

安全牛

2026年3月20日 12:28

点击蓝字 关注我们

新闻速览

• 工信部：关于防范Windows远程桌面服务（RDS）权限提升高危漏洞的风险提示

• AI 加持新型社工攻击 浏览器权限滥用致生物信息泄露

• FBI 出手查封 Handala 斩断 Stryker 攻击数据泄露渠道

• 美执法机构重拳捣毁四大僵尸网络 涉案设备超 300 万台

• FBI 与 CISA 联合预警 Microsoft Intune 安全风险 关联 Stryker 相关事件

• 内核驱动成攻击利器 Warlock 勒索软件防护迫在眉睫

• 近 90 款 EDR 杀手活跃 勒索软件防御逻辑亟待重构

• Google收紧Android无障碍权限，封堵银行木马高频攻击链

• 美国《外国情报监视法》即将到期，美情报界力推无修改 18 个月延期

• 医疗福利服务商接连失守，多起大规模数据泄露威胁个人敏感信息

特别关注

工信部：关于防范Windows远程桌面服务（RDS）权限提升高危漏洞的风险提示

2026 年 3 月 19 日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）发布风险提示，监测发现 Windows 远程桌面服务（RDS）存在权限提升高危漏洞，且该漏洞已被用于实际网络攻击。

Windows RDS 是 Windows 系统实现远程访问、桌面虚拟化和会话管理的核心组件，此次漏洞源于服务处理内部配置及相关注册表项权限时的校验缺陷。攻击者若拥有用户权限或建立远程桌面会话，可构造特殊请求篡改服务启动配置，无需用户交互即可实现本地权限提升，获取系统最高权限并实施恶意操作。

该漏洞影响范围较广，涉及 Windows 10/11 桌面系统，以及 Windows Server 2012/2016/2019/2022/2025 等服务器系统。目前微软官方已完成漏洞修复，并发布安全公告（CVE-2026-21533）。

平台建议相关单位和用户立即全面排查受影响系统，及时将 Windows 系统升级至最新安全版本或参照官方公告安装对应补丁。对于无法及时更新的系统，需采取限制非必要远程桌面访问、开启多因素认证等加固措施，有效防范漏洞被利用带来的网络攻击风险。

原文链接：

https://www.nvdb.org.cn/publicAnnouncement/2034537061127086082

热点观察

AI 加持新型社工攻击 浏览器权限滥用致生物信息泄露

近日，Cyble 研究与情报实验室（CRIL）发布报告指出，一款高活跃社会工程攻击活动正颠覆传统钓鱼模式，将窃取目标从普通密码转向高价值生物特征数据，已形成成熟的攻击链路。

该攻击依托 edgeone.app 基础设施搭建恶意网页框架，以 “ID 扫描”“医保 AI 服务”“Telegram 账号冻结提醒” 等诱饵制造紧迫感，诱骗用户授予浏览器高危权限。与传统钓鱼依赖手动输入不同，攻击者滥用合法浏览器 API 调用设备硬件，用户点击 “允许” 后，恶意 JavaScript 脚本将自动执行多重窃取操作：静默捕获设备摄像头视频帧、音频及短视频片段，完成设备指纹枚举收集系统配置信息，通过 ipapi.co 等 API 实现地理定位追踪，部分版本还会尝试获取用户通讯录信息。

CRIL 研究人员发现，攻击代码中出现结构化注释与装饰性 Unicode 符号，暗示攻击者或借助生成式 AI 加速攻击工具开发。该攻击还以 Telegram Bot API 作为命令控制与数据泄露通道，将窃取的音视频等数据通过 HTTP 请求直接传输，大幅降低攻击操作复杂度。

生物特征数据具有不可撤销、不可替换的特性，一旦泄露将造成永久性损失，可被用于绕过视频实人认证、制作深度伪造内容、实施电信诈骗与敲诈勒索等恶意行为。CRIL 提醒，该攻击常仿冒 TikTok、Instagram 等知名品牌，用户需警惕陌生域名的硬件权限请求，定期审计浏览器权限；企业需重点防范 edgeone.app 子域名发起的验证请求，筑牢生物信息安全防线。

原文链接：

The New Face of Phishing: Hackers Weaponize Browser Prompts to Steal Biometric Data

FBI 与 CISA 联合预警 Microsoft Intune 安全风险 关联 Stryker 相关事件

美国联邦调查局（FBI）与网络安全和基础设施安全局（CISA）联合发布安全预警，针对 Microsoft Intune 曝出的安全风险发出警示，该风险与 Stryker 相关网络安全事件存在关联，为企业及相关机构的安全防护敲响警钟。

Microsoft Intune 作为企业级的移动设备管理和企业移动性管理工具，被大量企业用于设备部署、策略管理与数据安全防护，其安全漏洞或配置风险易被网络攻击者利用，进而突破企业安全防线，造成数据泄露、系统入侵等安全事故，而 Stryker 相关事件中，该工具的安全隐患已显现出实际威胁。

此次两大机构的联合预警，明确指向了 Microsoft Intune 在使用过程中的核心安全风险点，同时结合 Stryker 相关案例，为行业提供了真实的风险参考。预警中也同步提醒相关企业及运维方，需立即对 Microsoft Intune 的部署配置进行全面核查，及时修补漏洞、优化安全策略，强化身份验证、权限管控等关键环节的防护措施。

针对此类与知名企业安全事件挂钩的通用工具风险，网络安全从业者需重点关注，既要做好自身负责系统中相关工具的安全加固，也需警惕攻击者利用同类通用工具漏洞发起规模化网络攻击。

原文链接：

https://therecord.media/fbi-cisa-warn-of-microsoft-intune-risks-stryker

美国《外国情报监视法》即将到期，美情报界力推无修改 18 个月延期

美国《外国情报监视法》（FISA）Section702 授权将于 4 月 20 日到期，白宫推动对该条款进行 18 个月无修改 “clean” 延期，美情报高层公开统一表态支持，为国会表决造势。众议院议长 Mike Johnson 计划下周将相关提案提交全院投票。

Section702 允许对境外安全威胁通信开展大规模电子监控，CIA 局长 John Ratcliffe 称其提供超半数关键可行动情报，FBI 局长 Kash Patel 呼吁延长至 5 至 10 年。两人已向众议院议员做机密简报，力挺无修改续签。该法案此前仅延期两年，此次立场转向令国家情报总监 Tulsi Gabbard 处境尴尬，其曾主张废除相关权限，现表示支持总统决定。

该提案遭遇强硬派共和党人与进步派民主党人联合反对，要求增设搜查令要求等隐私保障。与此同时，多家隐私与民权组织联名反对无限制续签，指出 AI 技术快速发展使大规模监控能力空前扩张，法律已无法跟上技术迭代，公民自由面临严重侵犯风险。众议院规则表决与参议院审议仍存重大变数，监控权限与隐私平衡的博弈进入关键阶段。

原文链接：

https://therecord.media/us-intel-chiefs-urge-lawmakers-to-extend-section-702

安全事件

FBI 出手查封 Handala 斩断 Stryker 攻击数据泄露渠道

美国联邦调查局（FBI）针对 Stryker 网络攻击事件采取执法行动，依法查封了 Handala 数据泄露站点，该站点是此次网络攻击事件中相关数据泄露的关键载体，成为这起网络安全事件的重要后续进展。

Stryker 遭遇的网络攻击，使得相关敏感数据面临泄露风险，而 Handala 数据泄露站点被认定为此次攻击事件中泄露数据的传播平台，其存在对 Stryker 的信息安全和商业利益造成持续威胁。FBI 的查封行动，直接切断了该站点继续泄露、传播 Stryker 相关数据的渠道，是针对此次网络攻击的重要执法反制措施。

此次行动也体现出执法机构对网络攻击及后续数据泄露行为的零容忍态度，针对黑客利用专门站点进行数据泄露的行为，通过直接的站点查封手段，打击黑客的违法操作，为遭遇网络攻击的企业挽回部分损失，同时也对潜在的网络犯罪行为形成震慑。

网络安全领域中，数据泄露站点常成为黑客实施网络攻击后，泄露受害方数据、索要赎金的重要工具，此次 FBI 对 Handala 的查封，也为行业应对此类网络攻击后续问题提供了执法层面的参考案例。

原文链接：

https://www.bleepingcomputer.com/news/security/fbi-seizes-handala-data-leak-site-after-stryker-cyberattack/

美执法机构重拳捣毁四大僵尸网络 涉案设备超 300 万台

2026 年 3 月 19 日，美国司法部联合国防部下属国防刑事调查局开展专项行动，一举捣毁 Aisuru、Kimwolf、JackSkid、Mossad 四大僵尸网络，关停其指挥控制服务器，此次行动成为针对创纪录网络攻击的关键反制举措。

四大僵尸网络共感染超 300 万台设备，多数位于家庭网络，攻击者不仅利用其发起分布式拒绝服务（DDoS）攻击致目标网络瘫痪，还将设备访问权出售给其他网络犯罪分子。其中 Aisuru 与 Kimwolf 关联密切，合计感染超百万设备，前者入侵录像机、网络设备等，后者专攻安卓智能设备，二者曾在 2025 年 11 月联手对 Cloudflare 客户发起 31.4Tbps 的 DDoS 攻击，持续 35 秒，流量规模达此前纪录的近三倍。

据悉，四大僵尸网络均为 2016 年 Mirai 物联网僵尸网络的变种，还演化出新型感染技术，如 Kimwolf 利用家用智能设备作为住宅代理突破家庭路由器防护。攻击者还曾将域名系统迁移至以太坊区块链，防止指挥控制服务器被劫持。本次行动暂无相关逮捕信息，美方正与加、德执法机构协作追查运营者。

值得注意的是，这类僵尸网络常以 “引导程序” 服务出租攻击能力，此次捣毁虽重创网络犯罪势力，但行业人士指出，网络攻防的猫鼠游戏仍将持续，新的僵尸网络或快速出现。

原文链接：

https://www.wired.com/story/us-takes-down-botnets-used-in-record-breaking-cyberattacks/

医疗福利服务商接连失守，多起大规模数据泄露威胁个人敏感信息

美国员工福利管理服务商 Navia Benefit Solutions 发生重大数据泄露事件，事件始于去年 12 月，今年 1 月 23 日被发现，黑客入侵系统时间为 2022 年 12 月 22 日至 2023 年 1 月 15 日，共计造成2697540 人受影响。

该公司为超万家企业提供 HRA、FSA、COBRA 等医疗福利及通勤福利账户管理服务，此次泄露数据包含姓名、出生日期、社保号码、联系方式及详细健康计划信息，部分记录可追溯至 2018 年。华盛顿州约 3.5 万名工会人员受波及，其中还涉及未成年人信息。Navia 声明未泄露理赔与财务数据，事件已上报联邦执法部门及美国卫生与公众服务部，目前企业已面临多起集体诉讼。

近年来，员工福利管理机构已成为网络犯罪高频目标，TriZetto、Landmark 等同类服务商均先后爆发大规模数据泄露或勒索软件攻击事件，此类机构因集中存储大量社保号与医疗信息，已成为网络安全防御的薄弱环节与高价值攻击目标。

原文链接：

https://therecord.media/health-plan-info-stolen-navia-benefits

安全攻防

内核驱动成攻击利器 Warlock 勒索软件防护迫在眉睫

近期，安全领域曝出 Warlock 勒索软件新的攻击手段，该恶意程序将内核驱动作为攻击武器，发起自带驱动型（BYOVD）攻击，为网络安全防护带来全新挑战。

BYOVD 攻击即攻击者利用合法签名但存在漏洞的内核驱动程序，绕过终端安全防护的底层检测机制，实现对目标系统的提权与持久化控制。内核驱动作为直接与操作系统内核交互的程序，拥有极高系统权限，一旦被恶意利用，安全软件难以从底层进行拦截。

Warlock 勒索软件正是抓住这一技术漏洞，借助恶意内核驱动突破防护屏障，成功规避常规安全检测手段，在目标系统中完成恶意代码注入、权限提升等关键攻击步骤，随后实施加密勒索行为。此类结合内核驱动的 BYOVD 攻击，相比传统勒索软件攻击，具有更强的隐蔽性和破坏性，企业若未对内核驱动进行严格的准入和审计，极易遭受攻击并造成数据泄露、业务瘫痪等严重后果。

此次 Warlock 勒索软件的攻击手法升级，也为网络安全从业者敲响警钟，针对内核驱动的安全管控已成为防御勒索软件的重要环节，企业需强化驱动程序的合规性校验，及时封堵内核层漏洞，提升底层安全防护能力。

原文链接：

Warlock Ransomware Evolves: New Tools and Kernel-Level Evasion Threaten Global Sectors

产业动态

近 90 款 EDR 杀手活跃 勒索软件防御逻辑亟待重构

勒索软件攻击者在发起加密攻击前，必会部署 EDR 杀手工具禁用终端检测与响应软件，该工具已成勒索软件入侵的标准组件。ESET Research 监测到野外有近 90 款 EDR 杀手被活跃使用，其攻击流程高度固定：攻击者获取高权限后部署 EDR 杀手破坏安全软件，再运行加密程序，这一方式能为其争取到稳定的加密窗口期，无需持续修改载荷规避检测。

在勒索软件即服务模式中，运营者提供加密程序和基础设施，EDR 杀手则由附属攻击者选择，这使得单一勒索软件品牌会使用多样的 EDR 杀手工具，大幅提升防御难度。当前 BYOVD 仍是 EDR 杀手最主流技术，攻击者通过合法但存在漏洞的驱动获取内核级权限，同时非内核级 EDR 杀手也在快速增长，部分工具仅依靠系统内置管理工具即可实现攻击。

值得关注的是，AI 辅助开发已渗入 EDR 杀手领域，Warlock 勒索软件团伙所使用的工具就出现 AI 生成代码特征，且无可靠取证标记可区分 AI 与人工代码，加大了威胁溯源难度。此外，勒索软件入侵是人工驱动的交互式操作，攻击者会持续适配防御手段，这要求防御方需在提权和驱动安装阶段主动监测，而非仅针对加密程序设防，仅拦截漏洞驱动已无法满足防护需求。

原文链接：

EDR killers are now standard equipment in ransomware attacks

Google收紧Android无障碍权限，封堵银行木马高频攻击链

谷歌针对无障碍 API 长期被银行木马与移动恶意软件滥用的问题，在 Android 17.2 中推出限制策略，当开启高级保护模式（APM）时，将严格管控无障碍 API 的调用权限，非核心无障碍功能类应用将无法使用相关服务，以此封堵这一高频攻击向量。

无障碍 API 本用于支持屏幕阅读器、盲文设备、语音控制等辅助功能，可读取屏幕内容、控制输入及跨应用交互，却被恶意开发者用于窃取敏感数据。银行木马借助该能力拦截二次验证码、窃取凭证并静默执行交易，部分恶意软件还通过覆盖技术伪造正规应用界面并记录用户输入。DroidLock、Albiriox 等恶意框架均频繁滥用无障碍 API，前者窃取数据后实施勒索，后者实现远程控制。近期更出现伪装成谷歌安全页面、借助无障碍服务作恶的恶意程序案例。

谷歌此前已多次整治 API 滥用，2017 年要求开发者说明使用必要性，2021 年面向 Android 12 及以上版本增设权限声明。新版规则进一步禁止应用通过软件标记随意启用无障碍服务，仅专用辅助类应用可调用该 API。开启 APM 后，密码管理器、自动化工具也将被限制访问，同时该模式还限定应用仅可从可信来源安装、限制 USB 数据传输，在缩小攻击面的同时，或对部分应用功能产生影响。

原文链接：

Google limits Android accessibility API to curb malware abuse

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《工信部：关于防范Windows远程桌面服务（RDS）权限提升高危漏洞的风险提示；AI 加持新型社工攻击 浏览器权限滥用致生物信息泄露 | 牛览》