标签: 微软

微软确认已修复 NTFS 格式磁盘拒绝服务致系统崩溃的漏洞

在1月中旬,我们报道了Windows 10中的一个漏洞,它可以被用来破坏NTFS格式化驱动器的内容。只需要一个特别制作的文件夹名称,就可以导致卷被标记为dirty状态,然后系统需要使用Chkdsk实用程序进行修复。 但Chkdsk并不总是能做到这一点,反而让受害者无法启动系统。几个月前,微软开始在Windows Insiders社区测试修复补丁,现在补丁正在提供给所有用户,微软标记其为解决了被追踪为CVE-2021-28312(Windows NTFS拒绝服务漏洞)的问题。 这些修复措施被列为本月周二发布的补丁的一部分,一同到来的KB5001330和KB5001337更新主要负责卸载Windows 10中的微软Edge的传统版本。但这些Windows 10的更新,一如既往地是一把双刃剑。 不幸的是,虽然这些更新解决了不可否认的破坏性NTFS问题,但它们也给人们带来了其他问题,包括性能下降和访问共享文件夹时出现问题。在安装了Windows 10的相关更新后,试图访问有问题的路径时,会出现与Insiders构建版21322测试期间相同的消息,即” 该目录名称无效”。 有关该漏洞的更多细节,可在微软安全响应中心找到: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-28312     (消息及封面来源:cnBeta)

白宫向美国各级政府机构下命令:赶紧给微软服务器打补丁

北京时间4月14日早间消息,白宫最高网络安全官员向各政府机构下达命令,要求它们为微软公司Exchange邮件服务器安装新补丁,因为服务器软件存在漏洞,可能会被黑客利用。 日前,美国国家安全局在软件中发现4个漏洞,于是上报给微软,这才有了今天的命令。负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)在声明中表示:“我们意识到漏洞可能会带来系统性风险,所以有必要及时披露。” 微软声称至今并没有发现有谁利用漏洞,但黑客将会研究新补丁,看看微软修复了什么,然后黑客可能会利用漏洞攻击未打补丁的计算机。 今年年初时,美国约有2万多台Exchange服务器遭到攻击,这些服务器主要用来处理Web版Outlook邮件。   (消息及封面来源:新浪科技)

微软分享 Exchange Server 攻击背后的破坏活动情报

许多企业内部的Exchange服务器正在忙着打补丁,但微软警告说,调查发现,在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限,或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。 微软本周早些时候表示,已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而,网络安全公司F-Secure表示,已经有 “数万台”Exchange服务器被入侵。 在一篇新的博客文章中,微软重申了它的警告,即 “给系统打补丁并不一定能消除攻击者的访问”。”许多被入侵的系统还没有收到二次行动,例如人为操作的勒索软件攻击或数据外流,这表明攻击者可能正在建立和保留他们的访问权限,以便以后的潜在行动,”微软365 Defender威胁情报团队指出。 在系统被入侵的地方,微软敦促管理员实践最小特权原则,减轻网络上的横向移动。最低权限将有助于解决常见的做法,即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。”由于服务账户凭证不会经常改变,这可以为攻击者提供很大的优势,即使他们由于防病毒检测而失去了最初的Web Shell访问,因为该账户可以用于以后提升权限,”微软指出。 以DoejoCrypt勒索软件(又名DearCry)为例,微软指出,该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现,并且可能为攻击者提供了一条重新获得访问的途径,在那里感染已经被检测和删除。 “这个批处理文件会执行安全账户管理器(SAM)数据库以及系统和安全注册表蜂巢的备份,允许攻击者稍后访问系统上本地用户的密码,更关键的是,在注册表的LSA[本地安全]部分,那里存储着服务和计划任务的密码,”微软指出。 即使在受害者没有被勒索的情况下,攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说,受害者今天可能没有被勒索,但攻击者已经在网络上留下了明天动手的工具。 Exchange服务器面临的另一个网络犯罪威胁来自于恶意加密货币矿工。据观察,Lemon Duck加密货币僵尸网络就在利用脆弱的Exchange服务器。有趣的是,Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器,使其独占Exchange服务器的权限。微软还发现,服务器被用来安装其他恶意软件,而不仅仅是挖掘加密货币。 微软同时公布了大量的泄密指标,系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。           (消息及封面来源:cnBeta)

71% 的 Office 365 用户遭恶意账户接管

网络检测和响应公司Vectra AI的最新研究显示,由于COVID-19,88%的公司已经加快了云和数字化转型项目。但它还发现,71%的Office 365用户遭遇恶意账户接管。 令人担忧的是,只有三分之一的安全专业人员认为他们可以立即识别和阻止账户接管攻击,大多数人预计需要几天甚至几周的时间来拦截这种违规行为。Vectra公司CTO团队技术总监Tim Wade说:”我们经常看到基于身份的攻击被用来绕过传统外围防御,如多因素认证(MFA)。帐户接管正在取代网络钓鱼成为最常见的攻击载体,而MFA防御系统现在已经变成减速带,而无法阻止攻击。组织需要认真对待这一点,并计划在业务发生实质性中断之前检测和控制账户泄露。恶意访问,即使是短时间的,也会造成巨大的损失。” 安全团队对自己公司安全措施有效性有很高的信心。近五分之四的人声称对绕过防火墙等外围防御的攻击有良好或非常好的可视性。然而,管理层受访者和SOC分析师等从业人员之间的意见存在有趣的对比,管理人员对自己的防御能力表现出更大的信心。总的来说,微软Office365客户提到的最主要的安全问题是云端保存的数据被泄露的风险、账户被接管的风险以及黑客隐藏行踪的能力。 经理们明显比那些在工作场所进行具体工作的人更有信心,这里有一定程度的自欺欺人,也许是因为与高级管理层分享的指标往往更多关注的是被阻止的攻击量,而不是攻击的严重性或达成确定结论的调查数量。不管是什么原因,重要的是不要自满,要对新类型的攻击保持持续的警惕。           (消息及封面来源:cnBeta)

微软或从美国网络安全资金中获 1.5 多亿美元拨款

北京时间3月16日早间消息,据报道,消息人士称,微软将从美国政府获得1.5亿美元的网络安全资金,这占了美国新冠救助资金中用于网络安全防卫的近四分之一。然而,一些立法者对此感到不满,他们并不希望美国政府为这家软件公司提供资金。黑客攻击对国家安全构成重大威胁,这令美国立法者深感挫折,因此美国国会在周四签署的新冠救助法案中配置了网络安全方面的援助资金。 俄勒冈州参议员罗恩·怀登(Ron Wyden)是国会情报委员会的主要民主党人,他说:“微软长期忽视软件设计方面的缺陷,造成了重大漏洞,并被黑客所利用。如果解决这一问题的唯一办法是给微软更多的钱,那么政府需要重新评估对这家公司的依赖。”“对那些向政府销售不安全软件的公司,如果还继续给与更大的政府合同,这样的做法无异于是在奖励这些公司。” 微软此前表示,它将优先修复那些遭到广泛攻击的漏洞。 根据媒体获得的一份美国网络基础设施安全开支计划草案,在6.5亿美元的新资金中,约有1.5亿多美元被用于“安全云平台”的建设。知情人士透露,这笔钱实际上已经编入了微软的预算,主要用于帮助联邦机构升级现有的微软软件,以提高其云系统的安全性。 微软的一项称为“活动日志”的关键服务,允许其客户端监视其所在云中的数据流量,从而发现可能的黑客活动。微软周日表示,尽管其所有云产品都具有安全功能,“但规模较大的组织机构可能需要更先进的功能,比如更深入的安全日志以及调查这些日志并采取行动的能力。” 大多数主要软件都曾经遭到过黑客的攻击,而微软产品的广泛流行性又使其成为了黑客们的首要目标。 许多针对政府机构以及私营公司的攻击是通过操纵微软的系统来进行。 虽然主管网络的一些美国高官认为除了向微软拨款别无选择,但怀登和其他三名立法者已公开对这一拨款计划表示担忧。在2月26日的一场听证会上,针对微软收取额外日志费用的问题,罗得岛州众议员吉姆·兰格文(Jim Langevin)就向微软总裁布拉德·史密斯(Brad Smith)提出了质疑。 兰格文问道:“这究竟是微软的一种盈利方式,还是向客户提供的成本价服务?” 史密斯的回答是:“我们是一家营利性公司。我们所做的一切都是为了产生回报,而不是做慈善。” 微软已经把安全产品变成了一个重要的收入来源,该业务目前每年可为微软带来100亿美元的收入,较以前增长了40%。         (消息及封面来源:cnBeta)

微软正调查 Exchange 攻击事件是否源于内部代码泄露

Apple Insider 报道称,在拜登政府概述了加强政府网络安全的计划之后,微软也决定在内部开展调查,以明确日益严重的 Exchange 服务器攻击是否源于潜在的漏洞。《华尔街日报》 周一报道指出,这家科技巨头发起了一项专门的调查,以检查“敏感信息”是否经由该公司的某些安全合作伙伴渠道而泄露。 具体说来是,微软正调查是否有人有意或无意地泄露了该公司私下发送给 MAPP 项目成员的概念验证代码。 据悉,MAPP 全称为 Microsoft Active Protections Program,目前已有大约 80 个组织成员。 3 月初的时候,微软发布了针对 Exchange 邮件服务器、正在被积极利用的四个零日漏洞的紧急补丁。 早在今年 1 月,微软就已经发现了这方面的问题。且在补丁发布前的 2 月 23 日,至少与少数几位 MAPP 合作伙伴探讨过概念验证用途的攻击代码。 结果表明,Exchange 攻击中使用的某些工具,与其私有代码具有一定程度的相似性。相关攻击波及全美至少 3 万个机构,其中包括了许多知名企业。 3 月 11 日,一名安全研究人员简要发布了微软的 GitHub 概念验证代码。但在首波攻击发起之后,相关漏洞也很快被其它网络犯罪组织所利用。 尽管该代码很快被移除,但仅一天之后,安全研究人员和联邦机构就开始发出警告,称相关漏洞已被用于在受感染机器上部署勒索软件。   【背景资料】 在 Exchange 邮件服务器漏洞攻击事件爆发之前,微软也曾于 2020 年遭到 SolarWinds 黑客入侵事件的影响。 3 月 12 日,白宫方面分享了新闻界人士和某位政府高级官员之间的谈话内容简报,概述了美国应积极制定相应计划,以应对日益严峻的网络安全事件。 这位高级官员称,拜登政府希望企业在软件构建和采购等方面优先考虑安全性。同时在网络安全的响应上,也应将重点放在与私营企业的更机密合作上。         (消息来源:cnBeta;封面源自网络)

微软已修补了被朝鲜黑客利用的关键零日漏洞

微软已经修补了一个关键的零日漏洞,朝鲜黑客正利用这个漏洞以恶意软件为目标对安全研究人员进行攻击。 1月份,谷歌和微软的帖子曝光了这些0day攻击。两篇帖子都说,受朝鲜政府支持的黑客花了数周时间与安全研究人员发展工作关系。为了赢得研究人员的信任,黑客创建了一个研究博客和Twitter角色,他们与研究人员联系,询问他们是否愿意就某个项目进行合作。 最终,假的Twitter资料要求研究人员使用Internet Explorer打开一个网页。那些上钩的人会发现,他们打了完整补丁的Windows 10机器被安装了一个恶意服务和一个内存后门,该后门联系了一个黑客控制的服务器。 微软在周二修补了该漏洞,其编号为CVE-2021-26411, 该安全漏洞被评为危急,只需要低复杂度的攻击代码即可利用。谷歌表示,联系研究人员的人为朝鲜政府工作。微软表示,他们是Zinc的一部分,Zinc是微软对一个威胁组织的称呼,而这个威胁组织更出名的名称是Lazarus。在过去的十年中,Lazarus已经从一个零散的黑客团体转变为一个强大的威胁行为者。 据报道,联合国2019年的一份报告估计,Lazarus和相关团体为该国的大规模杀伤性武器项目创造了20亿美元。Lazarus还与关闭全球电脑的Wannacry蠕虫、无文件的Mac恶意软件、针对ATM的恶意软件以及针对叛逃者的恶意Google Play应用有关。 除了使用利用IE的水洞攻击,针对研究人员的Lazarus黑客还向目标发送了一个Visual Studio项目,据称其中包含验证漏洞的源代码。项目里面藏着定制的恶意软件,可以联系攻击者的控制服务器。 虽然微软将CVE-2021-26411描述为 “Internet Explorer内存破坏漏洞”,但周一的公告称,该漏洞也会影响Edge,这是微软从头开始打造的浏览器,比IE安全得多,但没有报告称漏洞已经主动针对该浏览器的用户。 该补丁作为微软周二更新的一部分。微软总共发布了89个补丁。除了IE漏洞外,Win32k组件中的一个单独的升级权限漏洞也在被主动利用中。补丁将在未来一两天内自动安装。想要立即更新的用户应该进入开始>设置(齿轮图标)>更新与安全>Windows更新安装这些安全补丁。           (消息及封面来源:cnBeta)

10 余个 APT 黑客组织攻击微软 Exchange 服务器

3 月 2 日,微软面向 Microsoft Exchange Server 2013, 2016 和 2019 紧急发布带外(Out of Band)安全更新,修复了一个预认证的远程代码执行(RCE)漏洞链(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。 黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止,目前有超过 5000 台右键服务器检测到了 webshells,超过 6 万个客户受到影响,而欧洲银行业管理局等多个重要机构遭到攻击。 该漏洞最早是由知名漏斗研究专家 Orange Tsai 发现的,他在 2021 年 1 月 5 日向微软报告了这些漏洞。不过根据外媒 Volexity 的报道,有迹象表明早在 1 月 3 日就有黑客利用该漏洞链发起了攻击。因此,如果这些日期是正确的,那么这些漏洞要么是由两个不同的漏洞研究团队独立发现的,要么就是这些漏洞的信息以某种方式被恶意团伙获得。 2021 年 2 月 28 日开始,不断有 Exchange 用户遭到网络攻击,首先是 Tick,然后 LuckyMouse、Calypso 和 Winnti 团伙也开始迅速发起攻击。这表明,多名黑客在补丁发布之前就获得了漏洞的细节,这意味着我们可以摒弃他们通过对微软更新进行逆向工程构建漏洞的可能性。 在补丁发布的第 2 天,黑客采取了更加疯狂的攻击,包括 Tonto Team 和 Mikroceen 等团队也对 Exchange 服务器发起攻击。有趣的是,所有这些都是对间谍活动感兴趣的高级持续威胁(APT)组织,除了一个例外(DLTMiner),它与一个已知的加密采矿活动有关。下图是攻击时间线概要。 在过去几天时间里,ESET 研究人员一直在密切关注这些漏洞的 webshell 检测数量。基于 ESET 的遥测数据,在补丁发布日有超过 115 个国家的 5000 多台 Exchange 服务器被标记为 webshell,而实际受感染的服务器数量肯定更多。图 2 展示了微软补丁前后的检测情况。 图 3 的热图显示了根据 ESET 遥测的 webshell 检测的地理分布情况。由于大规模的利用,它很可能代表了全球安装 ESET 安全产品的易受攻击的 Exchange 服务器的分布情况。 ESET 已经确定了超过 10 个不同的网络威胁者,他们很可能利用最近的 Microsoft Exchange RCE,以便在受害者的电子邮件服务器上安装植入物。 我们的分析是基于电子邮件服务器,我们在这些服务器上发现了离线地址簿(OAB)配置文件中的webshell,这是利用RCE漏洞的一种特殊技术,已经在42单元的一篇博客文章中详细介绍过。遗憾的是,我们不能排除一些威胁行为者可能劫持了其他组投放的webshells,而不是直接使用该漏洞。一旦漏洞被利用,webshell 被安装到位,我们观察到有人试图通过它安装更多的恶意软件。我们还注意到,在某些情况下,几个威胁行为者针对的是同一个组织。           (消息及封面来源:cnBeta)

黑客对微软 Exchange 安全危机虎视眈眈

由于更多的黑客组织涌入,试图在受影响的公司为其服务器打补丁之前趁虚而入,微软Exchange服务器被黑客攻击正成为一个更大的安全问题。微软3月3日披露,黑客组织 “Hafnium”的攻击目标是微软Exchange服务器的漏洞,促使微软发布补丁。 漏洞公布后不久,Hafnium加强了攻击力度,在几天内袭击了3万家美国机构和世界各地的其他机构,但现在其他机构也加入了战团。安全专家告诉《金融时报》,更多的黑客组织正在利用这个机会,利用同样的漏洞进行自己的攻击。包括犯罪集团在内的黑客们,都是在托管服务器的组织打上补丁和保护之前,利用软件漏洞介入的。 对许多人来说,现在先发制人地修补这个问题可能为时已晚。”每一个可能的受害者,如果在上周中到年底还没有打补丁,就已经被至少一个或几个行为者命中了,”安全组织CrowdStrike联合创始人Dmitri Alperovitch这样表示。 在美国之外,欧洲银行业管理局成为第一个确认受到攻击的主要公共机构。 膨胀的攻击规模将在一段时间内成为一个严重的问题,促使政府进行干预。网络安全和基础设施安全局(CISA)已经敦促 “所有部门的所有组织遵循指导,以解决国内和国际上广泛存在的漏洞”。 还有人建议使用微软的IOC检测工具来确定是否发生了脆弱系统的入侵。同时白宫国家安全委员会声称:”任何拥有脆弱服务器的组织都必须立即采取措施,确定是否已经成为目标。”           (消息来源:cnBeta;封面源自网络)

微软 Exchange 漏洞事件升级

上周五,网络安全记者布莱恩·克雷布斯(Brian Krebs)和安迪·格林伯格(Andy Greenberg)报道称,在一次前所未有的电子邮件服务器攻击中有多达 3 万个组织受到影响。不过在上周末评估的最新数据,全球有超过 6 万个微软 Exchange 服务器客户被黑客攻击,欧洲银行业管理局承认是受害者之一。 Krebs 目前已经梳理了大规模 Exchange 服务器入侵事件的基本时间表,表示微软早在今年 1 月就已意识到这些漏洞。而首个安全补丁是在将近 2 个月之后才发布的,同时官方还发布了一篇博客文章,但没有解释攻击的范围和规模。甚至于微软原本计划将该补丁放在补丁星期二活动日上推出,但鉴于漏洞影响太大,所以才提前 1 周放出。 MIT Technology Review 报道称,除了主要黑客团体 Hafnium 之外,至少有 5 个黑客团体正在利用 Exchange 服务器的漏洞。目前美国政府官员正在争分夺秒的部署措施,一位官员告诉Cyberscoop,这是“A Big F-ing Deal”。 白宫新闻秘书 Jen Psaki 称这是“一个活跃的威胁”,让人们更加关注国土安全部网络安全机构3月3日发出的紧急指令。白宫国家安全顾问杰克-沙利文也对此提出了警告,前网络安全和基础设施安全局局长克里斯托弗-克雷布斯和白宫国家安全委员会也提出了警告。 Chris Krebs 在推文中写道:“这事情大条了。如果你的组织运行一个暴露在互联网上的OWA服务器,假设在02/26-03/03之间被入侵。检查C:\\inetpub\wwwroot\aspnet_client/system_web中的8个字符aspx文件。如果你搜索到了,你就进入了事件响应模式。” 国家安全委员会在推文中写道:“ 如果服务器已经被入侵,打补丁和缓解措施并不是补救措施。任何拥有易受攻击服务器的组织必须立即采取措施,以确定它们是否已经成为目标”。         (消息来源:cnBeta;封面源自网络)