标签: 微软

微软登录系统存在漏洞:用户 Office 帐号受影响

据美国科技媒体 TechCrunch 报道,当一系列漏洞串联在一起后可以构成完美的攻击以获得微软用户帐号的访问权限。简言之,就是欺骗用户点击某个链接。 印度“漏洞猎手” Sahad Nk 率先发现微软的子域名“ success.office.com ”未正确配置,给了他接管该子域名的可乘之机。   他利用 CNAME 记录——一个用于将一个域名链接到另一个域名的规范记录——来将未配置的子域名指向他自己的 Azure 实例。在 TechCrunch 于发布前获悉的一篇文章中,Nk 表示,通过这种方式,他可以接管该子域名,并劫持任何发送到该子域名的数据。 这本身不是什么大问题,但 Nk 还发现,当用户通过微软的 Live 登录系统登录他们的帐号后,微软的 Office、Store 和 Sway 等应用亦可以受骗将其身份验证登录指令发送他新近接管的域名。这是因为这些应用均使用一个通配符正则表达式,从而所有包含“office.com”字符的域名——包括他新接管的子域名——都能获得信任。 举例来说,一旦受害用户点击了电子邮件中发送的特殊链接,该用户将使用其用户名和密码通过微软的登录系统登录他们的帐号。获得帐号访问指令好比拥有某人的凭据——可以允许攻击者悄无声息地侵入该用户的帐号。 但是指示微软登录系统将帐号指令发送至 Nk 接管的子域名的恶意 URL ——若为恶意攻击者控制的话,恐会致使无数帐号暴露于风险之下。最糟糕的是,恶意 URL 看上去完全正常——因为用户仍然通过微软的系统进行登录,并且该 URL 中的 “wreply” 参数也没有疑点,因为它确实是 Office 的一个子域名。 换句话说,恶意攻击者可以轻而易举地访问任何人的 Office 帐号——甚至企业和集团帐号,包括他们的邮件、文档和其他文件等,而且合法用户几乎无法辨识。 Nk 在 Paulos Yibelo 的帮助下已向微软报告了该漏洞,后者已经将漏洞修复,并为 Nk 的工作支付了漏洞赏金。     稿源:cnBeta,封面源自网络;

科技巨头批澳政府反加密法律:对网络有重大负面影响

新浪科技讯 北京时间12月11日上午消息,据美国科技媒体TechCrunch报道,澳大利亚反加密网络法律上周获得通过,而包括苹果、谷歌及微软在内的科技巨头对此表示谴责。 “新出台的澳大利亚法律存在重大缺陷,范围过广并且对于新的权力缺乏独立监管。”改革政府监管联合会(Reform Government Surveillance)在一份声明中说道。科技公司补充表示这项法律将“破坏网络安全、人权以及我们用户的隐私权”。 联合会表示,将对澳大利亚继续施压,敦促立法人员在新的一年“迅速解决这些缺陷”。 联合会成员包括Dropbox、Facebook、谷歌、苹果,以及雅虎的母公司Oath。据称,这些公司在美国加密文件中均被列为国家安全机构项目PRISM中的成员,但所有公司均否认自己愿意参与其中。它们开始联合起来,游说澳政府改革其监管行动——部分行动都依赖于科技公司和电信公司被强制要求提供帮助。 Evernote、LinkedIn、Snap以及Twitter并未被列为PRISM的合作成员,但它们之后也加入了联合会并在信中署名。 思科、Mozilla等公司还对澳大利亚立法者提出投诉,认为这项法律“可能会对互联网造成重大负面影响”。 新法将让澳大利亚警方以及情报机构获得发布“技术通知”的权力——从本质上来说,这就是在迫使企业以及在澳大利亚运行的网站帮助政府破坏加密技术,或是在产品服务中安排后门。如企业拒绝配合技术通知内要求,将面临高额罚款。 批评人士认为,监管缺失可能会导致该系统的滥用。由于此类通知通常会伴随“禁言令”,任何技术通知都将不会公开。 此前,科技公司以及电信公司对反加密法规提出强烈反对,但这项提案还是在反对派——工党立法人员投票之后的不到一天时间里就获得了通过。 澳大利亚政府通过“恐吓战术”取得了胜利。澳大利亚国防部长克里斯托弗·派恩(Christopher Pyne)在推文中指控工党会选择“让恐怖分子以及恋童癖者继续做出恶劣行为,来保证自身利益”,但这则推文不久即被删除。工党承受不住压力,最终选择赞成这项法案的通过。但工党领袖比尔·肖滕(Bill Shorten)承诺,在法案通过的数月以内,该党将提供修正案,以确保澳大利亚在圣诞期间能变得更加安全。   稿源:新浪科技,封面源自网络;

微软发布 KB4461585 更新:修复 Outlook 2010 崩溃问题

上周本站曾报道部分 Windows 10 用户在安装 Windows 10 更新 KB4461529 后,导致 Outlook 2010 崩溃无法正常使用。而今天微软再发布了 KB4461585 更新,修复了上述 BUG,用户也可以通过 Microsoft Download Center 进行手动下载安装。 访问: 微软中国官方商城 – 首页 KB4461529 是微软发布的关键安全漏洞补丁,主要修复了 Office 生产力套件中所存在的漏洞,在未经修复的电脑上一旦用户打开黑客特制的文件之后可以允许黑客执行任意远程代码。但在升级之后,用户反馈称导致 64 位 Outlook 崩溃无法使用。   稿源:cnBeta.COM,封面源自网络;

微软 10 月补丁日部署安全更新:修复已被用于攻击的 Win32k 提权漏洞

10月9日,微软发布了2018年10月份的月度例行安全公告,并且发布了安全更新部署修复了多款产品的多项安全漏洞。在Windows 10的安全更新部署的修复中,重点提及了CVE-2018-8453 Win32k提权漏洞,今年8月份最初由卡巴斯基实验室观测到活动,并发现被APT组织FruityArmor用于攻击活动中的漏洞。 CVE-2018-8453漏洞在近日被APT组织FruityArmor用于攻击活动中,卡巴斯基实验室指出这一利用由高质量代码写成,影响目标可以包括尽可能多的微软Windows版本,包括Windows 10 RS4。 CVE-2018-8453 Win32k提权漏洞 CVE-2018-8453漏洞最初由卡巴斯基实验室观测到在野利用,经过后续研究发现其被APT组织FruityArmor用于攻击活动中,这也是该组织第三次利用0day漏洞(CVE-2016-3393、CVE-2018-5002 )。不过此漏洞不能导致远程代码执行,只能用于感染机器后实现提权。   稿源:cnBeta,封面源自网络;

新型僵尸勒索软件 Virobot 肆虐微软 Outlook

根据趋势实验室披露的安全报告,一种全新的僵尸网络勒索软件Virobot正通过微软Outlook进行大肆传播。报告中指出该恶意软件同时兼具僵尸网络和勒索软件的特征,在微软Outlook上以垃圾邮件的方式进行传播。 报告中写道:“Virobot首次发现于2018年9月17日,是对臭名昭著的Locky勒索软件变种分析7天之后发现的。一旦感染Virobot,它就会检查注册表键值(计算机GUID和产品秘钥)来确认系统是否应该加密。然后通过加密随机数生成器(Random Number Generator)来生成加密和解密你要。此外伴随着生成的秘钥,Virobot还会将收集的受害者数据通过POST发送到C&C服务器上。” 趋势科技还表示Virobot还可以记录用户敲击键盘的次数,并共享诸如信用卡信息和密码在内的诸多敏感数据。键盘记录器也会将这些信息发送至C&C服务器上。所以为了预防受到感染,请确保你不要打开非可靠源的附件。   稿源:cnBeta,封面源自网络;

微软将防病毒软件添加到 Office 应用程序以解决宏恶意软件问题

微软已将所有Office应用程序与防病毒软件集成,以防止出现宏恶意软件攻击。该公司正在使用反恶意软件扫描接口(AMSI)来处理嵌入在文档中的VBA宏。最近,我们报道了黑客如何使用微软Excel文档来执行CHAINSHOT恶意软件攻击。这些类型的攻击越来越普遍,黑客可以轻松访问受害者的计算机。 各种防病毒公司已经添加了新的AMSI接口,以防止通过恶意JavaScript,VBScript和PowerShell进行攻击。当调用潜在的高风险函数或方法时,Office会暂停宏的执行,并通过AMSI接口请求扫描到那时记录的宏行为。 微软未来指出,解决方案可能并不完美,但好过什么话也没有。也就是说,由于微软正在使用ATP和WindowsDefender,因此可以共享结果并阻止新的威胁。默认情况下,在支持VBA宏的所有Office 365应用程序中启用Office AMSI集成,包括Word,Excel,PowerPoint和Outlook。微软将扫描所有宏,除非它们由受信任方签名或者在受信任位置打开。   稿源:cnBeta,封面源自网络;

微软和苹果浏览器漏洞:不改变地址即可改变网页内容

新浪科技讯 北京时间9月12日早间消息,据美国科技媒体The Register报道,安全研究人员发现Edge和Safari浏览器存在漏洞,恶意者可以利用漏洞发起攻击,在不改变地址的情况下改变网页内容。 安全研究人员拉菲·巴罗奇(Rafay Baloch)指出,微软已经用补丁修复漏洞,不过苹果行动迟缓,所以目前Safari仍然不安全。 通过漏洞,攻击者可以加载合法页面,让网页地址在地址栏显示,然后快速将页面内的代码转换为恶意代码,地址栏中的URL地址无需改变。这样一来,攻击者可以创建虚假登录屏幕或者其它表格,收集用户名、密码及其它数据,用户很难区分真假,他们会认为自己登录的页面是真实的。 浏览器的源码是封闭的,巴罗奇不清楚Edge和Safari存在该漏洞,但Chrome和火狐没有的原因。照他的猜测,浏览器决定何时显示页面地址可能是问题的关键。巴罗奇说:“不同的浏览器处理导航的手法并不一样,当页面正在加载时,Safari、Edge浏览器允许代码更新。浏览器可以允许地址栏在页面完全加载之后更新一次,这样就可以解决问题了。” 微软目前已经修复漏洞。6月2日巴罗奇向苹果提交报告,至今还没有修复。按照惯例有90天的时间窗口,巴罗奇说他会披露漏洞,但是在苹果发布补丁之前不会公开代码。   稿源:新浪科技,封面源自网络;

微软发现针对美国政治团体的新一轮俄罗斯黑客攻击

在 2018 美国中期选举之前,美方又发现了与俄方有关、针对美国政治团体的新一轮黑客攻击事件。周一晚间发布的报道称,微软发现并禁用了几个虚假网站,其旨在欺骗访问者、使得与俄政府相关的黑客组织得以入侵他们的计算机。其中两个虚假网站模仿了美国的两个保守组织 —— 哈德森研究所(Hudson Institute)、以及国际共和研究所(International Republican Institute)。另外三个域名,则是假冒类似国会参议院的官方网站。 微软指出,与俄罗斯军方有联系的该黑客组织名叫 Strontium,此外它还有着“Fancy Bear”和“APT 28”的绰号。 近年来发生的一系列事件,都与它脱不了干系,尤其是 2016 年入侵民主党全国委员会的计算机网络、并窃取相关电子邮件记录一事。 虽然微软没有证据表明虚假已有成功欺骗的案例,但鉴于此类站点通常会托管恶意软件,旨在自动感染访问者计算机、窃取电子邮件、文档和其它敏感信息。 有鉴于此,微软还是立即申请了法院命令,要求将相关迁移至该公司的服务器,以抵消其所带来的威胁。 本次发现,强调了美国应努力避免 2016 年大选期间的事件重演。当时美方指责俄罗斯利用虚假身份,通过 Facebook 和 Instagram 等社交平台,影响了美国总统大选的结果。 美情报机构警告称,此类行动一直是俄罗斯政策战略的一部分。随着社交媒体影响力的增长,未来的形式依然严峻。 不到一个月前,美检察官罗伯特·穆勒(Robert Mueller)起诉了 12 名涉嫌在 2016 大选期间攻击民主党全国委员会网络的俄罗斯黑客。 今年 2 月份的时候,美司法部亦起诉了一家与俄罗斯情报部门有联系的互联网研究机构,指控其在 2016 年大选期间、通过社交媒体实施了宣传活动。   稿源:cnBeta,封面源自网络;

微软宣布面向决策者的“网络安全政策框架”白皮书

过去几年,网络攻击变得越来越普遍。除了传统的恶意团体,甚至还冒出了一些“更具背景”的幕后主使者的身影。在新形势下,这使得高层决策者难以通过制定法律来对抗这些威胁。而为了化解这一困境,微软刚刚发布了一份名为《网络安全政策框架》的白皮书。在长达 44 页的篇幅中,微软概述了决策者如何制定有效的政策、而无需经理不必要的障碍。 访问: 微软中国官方商城 – 首页 微软强调称,白皮书本身并不是一部完整的“网络安全法律”草案,反而更像是一份“伞状文件”,呈现了网络政策更加高级、抽象的一面。 具体说来,该文件侧重于以下方面: ● 国家级网络安全战略; ● 如何建立国家级网络机构; ● 如何制定和更新网络犯罪法案; ● 如何开发和更新关键基础设施的保护措施; ● 全球性网络安全战略。 微软表示,即便该公司已经与各国政策制定者合作多年,但本白皮书中的信息在其它地方并不易获得。 微软网络安全政策主管 Angela McKay 补充道: 鉴于技术的变化和创新是始终持续的,为应对网络安全所带来的影响,我司已经且将永远有更多的工作要做。 今天,我们很高兴将这一资源用于支持新一代的决策者们、并期待与其展开合作,以共同应对未来将面临的新挑战。 微软“网络安全政策框架白皮书”: 引用页 |(PDF)       稿源:cnBeta.COM,编译自:Neowin ,封面源自网络;

微软宣布进行年度 Hackathon 私人黑客竞赛 并发表新书

微软今天开始推出One Week Hackathon,这是全球最大的私人黑客竞赛,参赛的微软员工将尝试寻找解决世界上一些最具挑战性问题的新想法。参与者将获得一本新书“能力黑客”,其中回顾了两个黑客团队如何创建新技术以赋予残疾人新的能力。 早在2014年,Ability EyeGaze黑客团队就接到史蒂夫格里森的电子邮件,史蒂夫格里森是一名前NFL球员,患有神经肌肉疾病,称为肌萎缩侧索硬化症(ALS)。格里森想挑战微软员工找到一种方法让他用眼睛控制自己的轮椅。经过漫长而艰难的旅程,Ability EyeGaze Hack团队取得了成功,可访问性项目最终在去年进入了Windows 10。 该书还记录了学习工具黑客团队的可访问性项目,该团队最初旨在帮助阅读障碍的学生学习如何阅读它。该项目很快改变了范围,以帮助患有dysgraphia,ADHD,英语学习者和新兴读者的人,并且学习工具已经集成到Office和Microsoft Edge中。 微软首席可访问官Jenny Lay-Flurrie说:“早在2014年,我们有10个能力黑客项目,去年我们有150个项目和850个参赛者,今年我们希望这本书以及这些团队所经历的旅程能够引发关于技术变革力量的对话,并鼓励工程师和人员构建下一波包容性技术。”   稿源:cnBeta,封面源自网络;