标签: 微软

NSA 发现 Win10 漏洞 影响全球数十亿用户

继Adobe 星期二发布2020年第一个补丁程序软件更新后,微软也发布了一月份安全公告,警告数十亿用户有49个漏洞需要更新。周二发布的补丁程序的特别之处在于它更新修复了一个由美国国家安全局(NSA)发现的被广泛应用于windows10、Server 2016和2019版本中的一个核心组件。 CVE-2020-0601: Windows CryptoAPI欺诈漏洞 根据微软发布的官方公告:这个被称为“’NSACrypt”并定义为CVE-2020-0601的漏洞存在于Crypt32.dll模块中,该模块被包含在windows API系统,会对数据进行加密以及对各种“通行证和加密信息传递”进行解密处理。 但问题在于Crypt32.dll模块主要采用椭圆曲线加密(ECC)方式(该加密形式主要在SSL/TLS证书中使用),而椭圆曲线加密是目前公钥加密行业的标准。NSA在发布的新闻稿中对此现象解释到:攻击者通过通行证会破坏windows的加密验证方式,实现远程代码的执行。 攻击者通过滥用漏洞会破坏的验证方式有: HTTPS连接 签名文件和电子邮件 用户模式进下启动可执行签名代码 尽管该漏洞的技术细节尚未公开,但微软证实:若攻击者成功利用漏洞,会在用户不知情的情况下仿冒用户数字签名,进行恶意软件程序安装,也可以仿冒用户安装任何合法软件。此外,CryptoAPI中的漏洞还可能使远程攻击者更容易冒充网站或对受影响软件上的信息进行解密。 国家安全局表示:“此漏洞是我们与安全社区研究合作的一个例子,为确保用户安全,在此之前一个漏洞已被私下披露进行发布更新,若我们不对漏洞进行修复,其后果会很严重。 除了威胁等级被评为“重要”的Windows CryptoAPI欺诈漏洞之外,微软还修补了48个其他漏洞,其中8个是核心漏洞,其余40个都是重要漏洞。目前对于此种漏洞没有彻底的解决办法,建议用户可通过点击“窗口设置→更新和安全→窗口更新→单击“检查电脑上的更新”来安装最新的软件更新。 Windows系统中的其他重要的RCE漏洞 其中两个是会影响windows远程网关的CVE-2020-0609和CVE-2020-0610,未经身份验证的攻击者可以利用这些网关通过RDP请求在目标系统上执行恶意代码。 “此漏洞采用的是身份预先认证,不需要用户进行交互认证。成功利用此漏洞,攻击者可以在目标系统上执行任意代码,”windows顾问说。而CVE-2020-0611远程桌面客户端中的一个关键问题是它可能会导致反向RDP攻击,恶意服务器可以在连接客户端的计算机上执行任意代码。 “要利用这一漏洞,攻击者需要控制服务器,然后说服用户连接到它,而攻击者还可能危及合法服务器,在其上托管恶意代码,并等待用户连接”微软顾问说到。 幸运的是,微软本月修复的漏洞并未发现被公开披露或任意利用。   消息来源:thehackernews, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客谎称微软遭受伊朗网络攻击进行邮件钓鱼

黑客正试图利用伊朗最近可能发动网络攻击的警告,来搜集Microsoft登录凭据进行网络欺诈。由于美国和伊朗之间关系日渐紧张,美国政府就伊朗可能会对重要基础设施发起网络攻击发出警告。在这样的局势下,一名攻击者谎称自己源于“Microsoft MSA”并发送了主题为“电子邮件用户受到伊朗网络攻击”的邮件,谎称微软服务器受到了来自伊朗的网络攻击来进行网络欺诈。 仿冒邮件还写到:为了应对这一攻击,微软会将邮件和数据锁定在服务器上以此保护用户免受伤害,若想要再次获得锁定用户的数据访问权,用户需要重新登录。 关于进行网络欺诈的电子邮件 据收到该钓鱼邮件的用户Michael Gillett说:他发现该邮件能够绕过Outlook的垃圾邮件过滤器,到达收件人的邮箱中。 以下是邮件内容 Cyber Attack 我们的服务器今天遭到伊朗政府的网络攻击,为了确保您的网络安全,我们不得不采取额外措施来保护您的帐户和个人数据。 一些电子邮件和文件可能会被锁定,为了您的账户安全,您需要再次登录账户。如果您在接收电子邮件时仍有问题,请耐心等待,我们的技术支持团队正在加紧处理,会尽快恢复数据。 Restore Data 如果收件人点击“还原数据”按钮,则会返回到仿冒的Microsoft登录页面,但从URL可以看到,这并不是一个合法的Microsoft站点。 伪造的Microsoft登录页面 如果用户输入登录凭证,用户信息将会被攻击者盗取被进行其他方面的网络攻击,而这些攻击可能包括:有针对性的网络欺诈、凭证填充攻击,数据盗窃。 因此,在这里提醒用户:当收到奇怪电子邮件,要求登录账户执行某项操作时,需要保持警惕,有问题可以联系网络或邮件账户管理员。此外,用户还要注意检查包含Microsoft登录表单在内的任何登录页面的URL,而合法的登录表单会在Microsoft.com、live.com和outlook.com域上进行公布。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软成功清理与朝鲜黑客攻击有关的 50 个域名

外媒报道称,微软刚刚清理了由朝鲜网络黑客组织 APT37 运营的 50 个域名。软件巨头称,这些域名一直被 Thallium(亦称作 PT37)组织用于发动网络攻击。通过持续数月的关注、监视和追踪,该公司数字犯罪部门(DCU)和威胁情报中心(MSTIC)团队得以厘清 Thallium 的基础架构。 12 月 18 日,总部位于雷德蒙德的微软,在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久,美当局即批准了法院命令,允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。 此前,这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点,窃取凭证,从而获得对内部网络的访问权限,并执行后续针对内网的升级攻击。 微软表示,除了追踪该组织的网络攻击,该公司还调查了被感染的主机。微软企业客户副总裁 Tom Burt 表示: “攻击主要集中在美、日、韩三国的目标,受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人”。 在诸多案例中,黑客的最终目标是感染受害机器,并引入 KimJongRAT 和 BabyShark 两个远程访问木马(RAT)。 Tom Burt 补充道:“一旦将恶意软件安装在受害者计算机删,它就会从中窃取信息,保持潜伏并等待进一步的指示”。 当然,这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。 此前,微软曾对有俄方背景的 Strontium(又名 APT28 或 Fancy Bear)黑客组织发起过 12 次行动(上一次是 2018 年 8 月)、并成功撤下了 84 个域名。 以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus(APT35)运营的 99 个域名。   (稿源:cnBeta,封面源自网络。)

微软建议勒索软件攻击受害者不要向黑客支付赎金

如今,勒索软件攻击变得越来越普遍,但与此同时,同意支付解密密钥费用的受害者人数也在增加。简而言之,勒索软件攻击是加密存储在受感染设备上的文件,并随后锁定系统。要求受害者为解密密钥支付赎金,从技术上讲,这将使他们能够重新获得对设备和文件的访问权限。 虽然无法保证黑客实际上会提供解密密钥,但越来越多的公司同意在设备受到威胁后向网络罪犯付款。最近几天有两个这样的案件。首先,黑客设法闯入新泽西州最大的医院 Hackensack Meridian Health 网络并锁定所有电子设备后,医院已经付钱给黑客以重新获得对系统的控制权。此外,加拿大公司 LifeLabs 同意支付赎金,以换取 1500 万客户的数据。 对此,微软在一篇文章当中表示,微软绝不鼓励勒索软件受害者支付任何形式的勒索要求。支付赎金通常是昂贵,危险的,并且只会加重攻击者继续作战的能力。最重要的是,向网络犯罪分子付费以获得勒索软件解密密钥,并不能保证您的加密数据将被还原。 文章接着详细介绍了公司在勒索软件攻击时的准备方法,重点放在关键系统和文件的备份上。恢复到已知良好状态的能力,是应对任何信息安全事中最关键的策略,尤其是对付勒索软件方面。保持安全的其他方法包括电子邮件过滤,系统补丁和漏洞管理,防病毒保护以及应用程序白名单等等。   (稿源:cnBeta,封面源自网络。)

微软警告 GALLIUM 黑客组织瞄准全球电信供应商

微软专家指出:GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。 “目前微软威胁情报中心(MSTIC)在对GALLIUM黑客组织行为逐步了解中发现,其目标是电信供应商,为了破坏其目标网络,GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。” GALLIUM 的行为表现活跃,尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络,他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。 专家指出,目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具,这工具只需稍作改动,就可以逃避检测。运营商利用低成本和易于替换的基础设施,使用动态DNS域和定期重用的跃点。 MSTIC分析指出:使用动态DNS提供商而不是符合条件的注册域名,GALLIUM的低成本、低投入成为运营趋势。 在中国大陆、中国香港和中国台湾的基础设施中,且已观察到GALLIUM基础设施建设。 威胁行为很大程度上依赖于网络shell,通过此shell获得持久网络稳定,然后进行恶意软件传输。在这个阶段中,恶意软件的有效负载将会被舍弃,且不会通过稳定网络进行程序安装。 除了标准的 China Chopper外,该公司还为微软IIS服务器运行使用了一个名为blackmold的原生web shell。Blackmold能够找到出本地驱动器,并进行基本的文件操作如查找、读取、写入、删除和复制,设置文件属性,渗透文件,并使用参数运行cmd.exe。 该黑客组织还会提供个性化的Gh0st RAT和Poison Ivy服务版本,这两个版本都会修改软件使用通信方法。黑客还将QuarkBandit作为第二级恶意软件,专家称该软件具有修改配置选项和加密的Gh0st RAT变体。日前,研究人员还通过观察发现 GALLIUM使用VPN来进行网络持久的访问。 针对此问题,微软在报告中还公布了一份IOC指标列表。   消息来源:SecurityAffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软宣布在卡塔尔开设新的云数据中心区域

在今天发布的新闻稿中,微软宣布即将在卡塔尔开设新的云数据中心区域。伴随着本次扩展,微软在全球20个国家和地区的云区域规模数量已经达到55个。卡塔尔的新云数据中心区域预估将于2021年投入使用,首先从Azure开始,Office 365, Dynamics 365和Power Platform将会后续开放。 这个新数据中心区域的成立,能够让卡塔尔的公共和私营企业访问更可靠、更具弹性的云服务。卡塔尔运输和通信部长Jassim Saif Ahmed Al-Sulaiti表示:“与微软的合作是加速卡塔尔政府数字化转型的重要一环,是推动《卡塔尔国家愿景2030》发展计划的重要动力。” 微软当时表示,此次扩张的部分原因是该地区客户不断扩大的IT需求,如括阿联酋航空公司(UAE Airlines)。此外,它还响应了一些客户的“数据存储”需求,这些客户由于隐私和数据保护问题而不能在国外托管敏感服务。这些数据中心将支持微软Azure用户、Office 365、Dynamic 365和其他一些服务。微软当时还称,这两座数据中心将为海湾合作委员会国家和其他一些国际市场服务。 分析人士称,微软这些举措是受到了亚马逊AWS云服务的刺激。AWS之前宣布了在巴林建立数据中心的计划,预计今年初推出并提供在线服务。 谷相比之下,歌目前尚未在云计算服务市场相对较小的中东地区建立数据中心,但预计未来几年该地区云计算业务将以27%的速度增长。   (稿源:cnBeta,封面源自网络。)

微软再次向 Windows 10 用户提供了错误的更新

十月份我们曾报道过,微软向所有Windows 10用户发布了一个Autopilot设备更新补丁,随后在公司意识到自己的错误后撤消了更新。而今天,微软再次重复了同样的错误,他们于12月10日在星期二的补丁更新中向所有用户推出了另一个Windows 10 Autopilot更新“KB4532441”。 访问微软中国官方商城 – Windows 用户在论坛上报告说,此更新已发布到 Windows 10的消费者版本。当用户检查更新时,会立即显示此更新,并且即使成功安装后也会反复提供。 微软已经确认该错误,并且发布撤消了该更新的消息: 此更新可通过Windows Update获得。但是,我们删除了它,因为它的提供方式不正确。当组织为Windows Autopilot部署注册或配置设备时,设备安装程序会自动将Windows Autopilot更新到最新版本。而对正常Windows 10设备提供的Windows Autopilot更新实际上是无效的。如果系统为您提供了此更新并且当前设备并没有部署Autopilot的前提下,则安装此更新不会有影响,换句话说,Windows Autopilot更新不应提供给Windows 10 的消费者版本。 尽管微软表示此更新不会对用户PC产生负面影响,但是您依然可以选择卸载该补丁。 (稿源:cnBeta,封面源自网络。)

微软研究发现其 4400 万个帐户使用已泄露的密码

微软在2019年对超过30亿个公司账户进行了密码重用分析,以找出微软客户使用的密码数量。该公司从公共来源收集密码散列信息,并从执法机构获得额外数据,并将这些数据用作比较的基础。 对2016年密码使用情况的分析显示,约20%的互联网用户重复使用密码,另有27%的用户使用的密码与其他账户密码几乎相同。2018年的研究结果显示,大部分网民仍然青睐弱密码,而非安全密码。 像Mozilla或Google这样的公司都引入了改善密码使用的功能。谷歌于2019年2月发布了其密码检查扩展程序,并于2019年8月开始将其本地集成到浏览器中。该公司还于2019年在其网站上推出了针对Google帐户的新密码检查功能。Mozilla将Firefox Monitor集成到Firefox 浏览器中,该浏览器旨在检查弱密码并监视密码是否已经泄漏。 微软一直在推动无密码登录已经有一段时间了,该公司的密码重用研究提供了一个原因。根据微软的说法,4400万个Azure AD和微软服务帐户使用在泄漏的密码数据库中也可以找到的密码。这大约是该公司在研究中检查所有凭证的1.5%。 现在微软将强制重置泄露的密码。微软用户将被要求更改帐户密码。目前尚不清楚如何将信息传达给受影响的用户或何时重置密码。在企业方面,微软将提高用户风险并警告管理员,以便可以强制执行凭据重置。微软建议客户启用一种形式的多因素身份验证,以更好地保护其帐户免受攻击和泄漏。根据微软的说法,如果使用多因素身份验证,则99.9%的身份攻击不会成功。   (稿源:cnBeta,封面源自网络。)

微软披露恶意挖矿软件 Dexphot 完整信息:全球已有 8 万台设备受感染

微软安全工程团队今天披露了新型恶意程序Dexphot的完整信息,它主要劫持感染设备的资源来挖掘加密货币,并为攻击者牟利。微软表示自2018年10月以来不断有Windows设备受到感染,并在今年6月中旬达到峰值达到80000多台,微软通过部署相关策略以提高检测率和阻止攻击,随后每天感染的设备数量缓慢下降。 虽然Dexphot的最终目的就是利用受害者设备资源来挖掘加密货币,但是该恶意软件的复杂性非常高,其作案手法和技术也非常特别。微软Defender ATP研究团队的恶意软件分析师Hazel Kim说:“ Dexphot不是引起主流媒体关注的攻击类型。”他指的是恶意软件主要是为了挖掘加密货币的,而不是窃取用户数据。 Kim继续说道:“这是在任何特定时间都活跃的无数恶意软件活动之一。它的目标是在网络犯罪分子中非常普遍,就是安装一个窃取计算机资源的程序,通过挖矿为攻击者创造收入。然而,Dexphot是采用了远超日常威胁的复杂程度和发展速度,主要是为了绕开各种安全软件的保护非法牟利。” 在与ZDNet共享的一份报告中,Kim详细介绍了Dexphot的高级技术,例如,使用无文件执行,多态技术以及智能和冗余启动持久性机制。根据Microsoft的说法,Dexphot被安全研究人员称之为“第二阶段有效负载”,这是一种已经投放到已经被其他恶意软件感染的系统上的恶意软件。   (稿源:cnBeta,封面源自网络。)

微软宣布将“尊重”加州隐私法并将扩展至整个美国

据外媒报道,当地时间周一,微软宣布将尊重加州标志性数据隐私法为加州人提供的“核心权利”并将这一权利扩展到整个美国。微软首席隐私官Julie Brill于周一在一篇博文中表示,就像去年推广《欧洲一般数据保护条例(GDPR)》一样,公司将把《加州消费者隐私法(CCPA)》的主要原则推广到美国各地。 CCPA于2018年6月获得批准,是美国最激烈、最全面的数据隐私法规之一,其有点类似于GDPR。在CCPA的规定下,公司必须向用户披露其收集的个人资料、资料是否会出售及出售对象,并容户选择不出售个人的资料。另外,用户还必须能够访问自己的数据并能要求公司删除它们。 Brill写道:“根据CCPA,公司必须对数据收集和使用透明,并为人们提供防止个人信息被出售的选择。CCPA完成这些目标的具体要求仍在制定中。 Brill继续指出,微软将密切关注政府要求公司在CCPA下执行新透明度和控制要求的任何变化。 据了解,CCPA一直是加州立法机关和国会许多隐私斗争的主题。参议院和众议院都在为他们自己的数据隐私而战,每隔几周就会有新的法案被提出。许多民主党议员认为,任何国家立法都应该以加州为基准,在全国范围内扩大这些保护措施并在必要时增加更多的保护措施。共和党人和行业利益相关者则不同意这一观点,他们普遍认为,CCPA管得太过,并且任何联邦法律都应该废除它、其他任何一个州的法律都应该避免出现隐私法规的“拼凑”现象。 Brill写道:“在美国,CCPA标志着向人们提供对其数据更有力的控制迈出了重要的一步。”“这也表明,即使国会不能或不愿采取行动,我们也可以在国家层面加强隐私保护上取得进展。” 据悉,该法案将于2020年1月1日在加州生效。   (稿源:cnBeta,封面源自网络。)