标签: 微软

微软调侃 WhatsApp 隐私策略调整 并推荐用户迁移至 Skype

在 WhatsApp 近日更新的隐私政策条款中,用户被告知他们的数据将会和 Facebook 以及其他公司共享。虽然用户现在可以选择退出,但在 2 月 8 日之后将会变成强制性要求。现在,微软的社交媒体团队也调侃了本次事件,并建议用户迁移到 Skype。 在 Skype 官方发布的推文中写道:“Skype 尊重你的隐私,我们我们致力于保护你的个人数据隐私,不会向第三方出售”。此外,该网址还指向微软的隐私政策声明,其中概述了该公司从用户那里收集什么样的数据以及如何使用这些数据。这是一个冗长的页面,大多数人都会忽略,但如果你确实因为隐私问题而考虑从WhatsApp迁移,建议你去看一看。     (消息来源:cnBeta;封面来自网络)

CISA 发布检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具

近日,网络安全和基础设施安全局(CISA)的云安全小组发布了检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具。 CISA发帖声明:“ CISA创建了一个用于检测 Azure/Microsoft 365 中恶意活动的免费工具,供相关事件响应者使用,且仅关注最近基于身份验证的网络攻击活动。”用户和管理员可访问此GitHub页面,以获取更多信息和检测对策。 Sparrow.ps1脚本检查并在计算机上安装必需的PowerShell模块,在MSAzure / M365中审核日志中是否存在某些IoC,列出Azure AD域并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。该工具将数据输出放置在默认目录中的多个CSV文件中。 基于使用Azure管理工具审核第三方经销商和合作伙伴的权限时存在困难的情况,CrowdStrike安全专家创建了自己的工具。因此管理员可以使用此工具分析微软Azure环境和审核分配给第三方合作伙伴及代理商的权限。             消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

Project Zero 团队披露微软尚未完全修复的 Windows 10 提权漏洞

在微软今年 6 月发布的更新中,修复了存在于 Windows 系统中的一个高危漏洞,允许黑客在受感染的设备上将权限提高到内核级别。这个漏洞在今年 5 月被高级黑客作为零日漏洞使用,不过近日谷歌 Project Zero 团队使用公开的概念证明,表示这个问题依然存在,只是方法有所不同。 谷歌 Project Zero 安全研究员 Maddie Stone 发现,微软 6 月份的补丁并没有修复原来的漏洞(CVE-2020-0986),经过一些调整后,该漏洞仍然可以被利用。2020 年 5 月,该问题与 Internet Explorer中的一个允许远程代码执行的 BUG 一起被黑客利用进行权限升级。在卡巴斯基发现攻击时,这两个缺陷都是零日。 Stone 表示,攻击者现在仍然可以通过发送偏移量而不是指针来触发CVE-2020-0986,将权限增加到内核级别。在Twitter上,研究人员阐明说,最初的bug是一个任意的指针误引,允许攻击者控制memcpy函数的 “src “和 “dest “指针。 但是微软的修复补丁是不恰当的,因为微软只是将指针改为偏移,所以函数的参数仍然可以被控制。在今天的一份简短的技术报告中,她解释了如何触发该漏洞,现在确定为CVE-2020-17008。 一个低完整性的进程可以发送LPC消息到splwow64.exe(中等完整性),并在splwow64的内存空间中获得 write-what-where 权限 。攻击者通过memcpy调用控制目标、复制的内容和复制的字节数。       (消息来源:cnBeta;封面来源于网络)

微软总裁示警 SolarWinds 黑客攻击 确定 40 多个新受害目标

微软总裁布拉德·史密斯(Brad Smith)近日警告说,SolarWinds 的 IT 软件 Orion 产生的大范围黑客攻击事件“仍在发酵”,表明这次攻击的范围、复杂程度和影响情况都是非常深远的。该漏洞主要针对美国政府机构,因此不少人猜测是有俄罗斯政府支持黑客组织实施的。 史密斯将本次黑客攻击定性为“清算的时刻”(a moment of reckoning),并阐述了微软认为这次黑客攻击的规模和危险性。史密斯认为,它 “代表了一种鲁莽的行为,给美国和世界造成了严重的技术漏洞”。 他认为这不仅仅只是对特定目标的攻击,而是对世界关键基础设施的信任和可靠性的攻击,以推动一个国家情报机构的发展。虽然帖子没有明确指责俄罗斯,但暗示的意思非常明显。史密斯称,“未来几周将提供越来越多的,我们相信关于最近这些攻击的来源的无可争议的证据”。 为了说明本次攻击的影响情况,史密斯分享了一张地图,使用 Microsoft Defender 反病毒软件中获取的遥测数据显示已经安装了带有恶意软件的 Orion 版本的设备 。 据史密斯透露,微软本周还一直在努力通知 40 多个客户,攻击者更精确地瞄准了这些客户,并通过额外和复杂的措施进行破坏。这些客户中约有 80% 位于美国,但微软还确认了加拿大、墨西哥、比利时、西班牙、英国、以色列和阿联酋的受害者。史密斯说:“可以肯定的是,受害者的数量和地点会不断增加”。 对此次黑客事件的调查还在进行中。联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和国家情报总监办公室(ODNI)周三发表联合声明称,他们正在协调 “整个政府对这一重大网络事件的反应”。而史密斯警告说,”我们都应该为公共部门和其他企业和组织中更多受害者做好准备”。       (消息及封面来源:cnBeta)

微软承认在 Solarwind 攻击中也被黑客入侵 影响面还在持续发酵

今天路透社报道称,微软在被黑客入侵之后,其资产被操纵从而参与了针对Solarwinds的攻击,有超过1.8万家公司和政府机构被感染了一个后门,这个后门将允许黑客(很可能是来自俄罗斯的黑客)自由访问他们的网络。 微软表示,他们已经在公司内部检测到了SolarWinds软件的恶意版本,但同时也表示,到目前为止,其调查没有显示出黑客利用微软系统攻击客户的证据。 官方声明称:“和其他SolarWinds客户一样,我们一直在积极寻找这个行为者的特征,并可以确认我们在环境中检测到了恶意的SolarWinds二进制文件,我们现在已经对其进行了隔离和删除,但没有发现访问生产服务或客户数据的证据。我们的调查正在进行中,重申绝对没有发现任何迹象表明我们的系统被用来攻击他人。” 微软一直在参与开发针对恶意软件Sunburst的专杀工具,但FireEye警告说,黑客可能已经利用该恶意软件在网络上植入效力更持久的恶意软件,这可能更难检测和消除。         (消息来源:cnBeta;封面来自网络)

微软将强制隔离带有恶意软件的 SolarWinds Orion 应用

微软宣布将从今天开始,强制屏蔽和隔离已知含有 Solorigate(sunburst)恶意软件的 SolarWinds Orion 应用版本。上周末,多家媒体报道称有俄罗斯政府背景的黑客组织入侵了 SolarWinds,并在网络监控和库存平台 Orion 更迭版本中插入了恶意软件。 在新闻曝光之后 SolarWinds 证实,2020年3月至2020年6月期间发布的 Orion 应用版本 2019.4 至 2020.2.1 版本受到恶意软件的污染。在该公司发表官方声明后,微软是最早确认 SolarWinds 事件的网络安全厂商之一。同一天,该公司为 SolarWinds Orion 应用中包含的 Solorigate 恶意软件添加了检测规则。 不过,这些检测规则只能触发警报,Microsoft Defender 用户可以自行决定如何处理 Orion 应用。然而,在今天的一篇简短的博客中,微软表示现在已经决定从明天开始强行将所有 Orion 应用安装文件进行隔离。 微软在博文中写道 :“从北京时间12月17日0点开始,Microsoft Defender 软件将开始阻止已知的恶意 SolarWinds 安装文件。即便这些进程正在运行中也会将其进行隔离。需要重点注意的是,这些二进制文件对客户环境构成了重大威胁”。       (消息及封面来源:cnBeta)

深入调查 SolarWinds 黑客事件 微软已查封一个核心服务器

援引外媒 ZDNet 报道在对 SolarWinds 黑客事件深度调查中 ,微软通过和一家科技联盟合作查封并沉洞了在本次事件中扮演核心角色的域名。该域名是avsvmcloud[.]com,作为恶意软件的命令和控制(C&C)服务器,通过该公司的 Orion 应用程序的木马化更新交付给约 18000 名 SolarWinds 客户。 在 2020 年 3-6 月期间,SolarWinds Orion 更新了 2019.4 到 202.2.1 版本,其中均包含名为 SUNBURST(也称为Solorigate)的恶意软件。一旦安装在计算机上,该恶意软件会休眠 12-14 天,然后ping avsvmcloud[.]com 的一个子域。 根据安全公司FireEye的分析,C&C域名会回复一个包含CNAME字段的DNS响应,其中包含另一个域名的信息,SUNBURST恶意软件会从那里获得进一步的指令和额外的有效载荷,以便在受感染公司的网络上执行。 今天早些时候,一个科技公司联盟查封并下架了avsvmcloud[.]com,将该域名转入微软所有。熟悉今天行动的消息人士将此次查封描述为 “保护性工作”,目的是防止 SolarWinds 黑客背后的威胁行为者向受感染的计算机交付新的订单。       (消息及封面来源:cnBeta)

微软希望客户对近期频繁发生的国家级网络攻击事件保持高度警惕

针对近期涌现的疑似具有国家级技术和资源背景的黑客攻击,微软其实已经在 2020 版《数字防御报告》中有所预料。虽然截止目前,微软尚未在相关调查中发现自家产品或云服务有漏洞被利用,但该公司还是在一篇博客文章中发出了提醒,希望客户能够采取切实有效重要步骤,以防其成为此类网络攻击的受害者。 微软在文中列出了恶意代理开展复杂网络攻击的一些技术细节,比如通过 SolarWinds Orion 产品中的恶意代码实施入侵。若被攻击者得逞,后续黑客可能以此为跳板,在网络中获得更高的权限。 其次,攻击者或利用本地窃取的管理员权限,获得对机构内受信任 SAML 签名证书的访问权限。然后通过伪造 SAML 令牌,假扮组织内任何现有用户的账户,甚至染指特权较高的账户。 为应对此类异常登录,建议客户在网络系统上进行适当的安全配置,以区分访问本地或云端任何资源的可信证书。由于 SAML 令牌使用了自签名证书,组织内很可能会忽视掉这部分异常。 利用上述或其它技术获得了搞特权账户的访问权限之后,攻击者还可将自己的登录凭证添加到现有的应用程序服务主体中,从而使之获得相关应用程序的权限调用 API 。 至于 COVID-19 大流行期间的完整事件分析、以及社区对网络安全的态度等问题,微软将在完整版的 2020 数字防御报告中进行阐述。       (消息及封面来源:cnBeta)

微软拒绝承认 Microsoft 365 云服务遭入侵

援引路透社报道,黑客滥用微软的 Microsoft 365 平台对美国财政部进行了长达数月的监控。作为回应,微软今天发布了 IT 管理员指南,帮助他们寻找和缓解潜在的恶意活动。 不过,微软否认云服务遭到入侵。在声明中表示:“我们还想要向所有客户澄清,在这些调查中我们并没有在微软任意产品和云服务中发现漏洞。”不过微软强调正在开展针对政府、私营企业的大规模调查活动,并警告安全人员注意以下迹象: ● 通过 SolarWinds Orion 产品中的恶意代码入侵 这导致攻击者获得了网络中的立足点,攻击者可以使用该立足点来获得更高的凭据。 Microsoft Defender 现在可以检测到这些文件。另请参见 SolarWinds 安全公告。 ● 伪造 SAML 令牌 入侵者使用通过本地折衷获得的管理权限来访问组织的受信任的SAML令牌签名证书。这样一来,他们就可以伪造SAML令牌,以模拟组织的任何现有用户和帐户,包括特权较高的帐户。 使用由受损的令牌签名证书创建的SAML令牌进行的异常登录,由于已对其进行了配置,因此可以将其用于任何本地资源(无论身份系统或供应商如何)以及任何云环境(无论供应商如何)信任证书。由于SAML令牌是使用其自己的受信任证书签名的,因此组织可能会遗漏异常。 ● 获取高权限账户 使用通过上述技术或其他方式获得的高特权帐户,攻击者可以将自己的凭据添加到现有的应用程序服务主体,从而使他们能够使用分配给该应用程序的权限来调用API。     (消息及封面来源:cnBeta)

英特尔和微软大力推动 PRM,替代 SMM 执行相关代码

鉴于 UEFI SecureBoot 诞生初期种种令人头疼和担忧的问题,对于资深的 Linux 用户来说在听到微软正以安全的名义开发另一个固件级别的标准这无疑会引起更多的担忧… 微软和英特尔一直牵头平台 Runtime 机制(PRM),将代码从系统管理模式(SMM)中挪出来并在 OS/VMM 内容中执行。 目前 PRM 仍在开发中,不过已经邀请 Windows Insider 项目成员进行测试。而 Linux 的支持将会在 ACPI 规范完成之后提供。PRM 已经上线一年多时间了,主要目的是将更多的代码从“潜伏的黑箱子”–SMM中挪出来,并移入到 OS/VMM 内容中进行执行。虽然,微软将 SMM 称其为“黑盒子” 有点讽刺意味,但 SMM 存在恶意 Rootkit 和其他问题,让很多人都对 SMM 有所关注。 但是,除了围绕SMM的安全问题外,还可能存在性能影响和其他因素,因此英特尔和微软一直在推动将不需要 SMM 特权的 SMI 处理程序挪出来,通过暂定的 PRM 来进入操作系统中运行。SMM 依然保留部分需要提权的处理程序。 通过 TianoCore 的 edk2 过渡 PlatformRuntimeMechanisms 分支,稳定了PRM的开源通用基础结构实现。还提供了开放源代码的示例PRM模块以及文档。实际的 PRM 规范虽然仍待 ACPI 和 UEFI 工作组确定,但听起来将在 2021 年敲定。最新的 Windows Insider 版本已经提供了初步的支持,而 Linux 对 PRM 的支持将在 PRM 规范发布之后部署,并且内核代码经历了通常的上游审查过程。       (消息来源:cnBeta;封面来自网络)