关于9月28日服务漏洞事件

LiveHelp100服务漏洞跟进

在我们的第一次服务漏洞更新后,LiveHelp100 安全和开发团队继续调查并得了以下新发现。


有哪些新发现?

此事件具有以下文件路径的木马感染 - 木马在 Windows 系统中植入以下文件夹 - “C:\ProgramData\Cisco Core\”, “C:\ProgramData\FAOS” 和/或 “C:\ProgramData\KSW”。

1. “Cisco Core” 文件夹包含以下文件:

  • CoreConnect.exe
  • CoreVPN.exe
  • MidlrtMd.dll
  • License

2. FAOS 文件夹包含以下文件:

  • FAOS.exe
  • FFAOS.exe
  • MidlrtMd.dll
  • Local.log

3.  KSW 文件夹包含以下文件 / 文件夹:

  • Marge.exe
  • Kdump64.dll
  • Html.xml
  • Log 文件夹

谁受到了影响?

此漏洞事件的范围仅限于在这个时间范围内使用过微软 (Windows) 系统 LiveHelp100 客服端桌面版应用程序的用户 -- 北京时间 2022 年 9 月 28 日下午 3 点至北京时间 2022 年 9 月 30 日凌晨 12 点 期间。


以下用户不受此问题的影响:

  • 如果您在上述时间段内没有使用 微软系统客服端桌面应用程序,您不会受到影响。
  • 如果您使用 LiveHelp100 苹果系统(Mac OS)桌面应用程序、LiveHelp100 网页版客服端,或 LiveHelp100 移动应用程序,您不会受到影响。
  • 对于防火墙只允许白名单请求的组织中的用户,恶意脚本不会被下载,您也不会受到影响。
  • LiveHelp100私服平台用户不受影响。

根据我们的新调查,没有暴露额外的数据。 

因此,信息和数据暴露的范围与之前报告的一样 – 如下:

1. 计算机名称

2. Windows 用户名

3. 您的 LiveHelp100 帐户的站点 ID

4. Windows 的进程列表— 包括进程名称、PID、会话名称、会话#、内存使用情况

受木马感染的文件无法获取有关您的客户信息和聊天记录的任何数据。 因此,您的客户信息保持不变。

解决木马感染的步骤

  • https://app.livehelp100service.com/livechat/electron_lan/10001/LiveHelp100LiveChat-Setup-win.exe下载并安装最新版本11.0.6 的安装包
  • 检查您的系统中是否存在这些文件夹 - “C:\ProgramData\Cisco Core\”, “C:\ProgramData\FAOS” 和/或 “C:\ProgramData\KSW”。 如果有,请确保从系统中清除这些文件夹。
  • 然后重新启动 PC。
  • 文件夹名称可能有其他变异。 因此,强烈建议使用内置的 Windows Defender 或其他第三方防病毒软件对您的 Windows 系统进行全面扫描。 并修复发现的任何威胁/风险。


我们会继续调查和监控此漏洞事件。 我们将在未来几天内发布最终事件报告,以确认所有先前报告的信息。