标签: 微软

微软希望客户对近期频繁发生的国家级网络攻击事件保持高度警惕

针对近期涌现的疑似具有国家级技术和资源背景的黑客攻击,微软其实已经在 2020 版《数字防御报告》中有所预料。虽然截止目前,微软尚未在相关调查中发现自家产品或云服务有漏洞被利用,但该公司还是在一篇博客文章中发出了提醒,希望客户能够采取切实有效重要步骤,以防其成为此类网络攻击的受害者。 微软在文中列出了恶意代理开展复杂网络攻击的一些技术细节,比如通过 SolarWinds Orion 产品中的恶意代码实施入侵。若被攻击者得逞,后续黑客可能以此为跳板,在网络中获得更高的权限。 其次,攻击者或利用本地窃取的管理员权限,获得对机构内受信任 SAML 签名证书的访问权限。然后通过伪造 SAML 令牌,假扮组织内任何现有用户的账户,甚至染指特权较高的账户。 为应对此类异常登录,建议客户在网络系统上进行适当的安全配置,以区分访问本地或云端任何资源的可信证书。由于 SAML 令牌使用了自签名证书,组织内很可能会忽视掉这部分异常。 利用上述或其它技术获得了搞特权账户的访问权限之后,攻击者还可将自己的登录凭证添加到现有的应用程序服务主体中,从而使之获得相关应用程序的权限调用 API 。 至于 COVID-19 大流行期间的完整事件分析、以及社区对网络安全的态度等问题,微软将在完整版的 2020 数字防御报告中进行阐述。       (消息及封面来源:cnBeta)

微软拒绝承认 Microsoft 365 云服务遭入侵

援引路透社报道,黑客滥用微软的 Microsoft 365 平台对美国财政部进行了长达数月的监控。作为回应,微软今天发布了 IT 管理员指南,帮助他们寻找和缓解潜在的恶意活动。 不过,微软否认云服务遭到入侵。在声明中表示:“我们还想要向所有客户澄清,在这些调查中我们并没有在微软任意产品和云服务中发现漏洞。”不过微软强调正在开展针对政府、私营企业的大规模调查活动,并警告安全人员注意以下迹象: ● 通过 SolarWinds Orion 产品中的恶意代码入侵 这导致攻击者获得了网络中的立足点,攻击者可以使用该立足点来获得更高的凭据。 Microsoft Defender 现在可以检测到这些文件。另请参见 SolarWinds 安全公告。 ● 伪造 SAML 令牌 入侵者使用通过本地折衷获得的管理权限来访问组织的受信任的SAML令牌签名证书。这样一来,他们就可以伪造SAML令牌,以模拟组织的任何现有用户和帐户,包括特权较高的帐户。 使用由受损的令牌签名证书创建的SAML令牌进行的异常登录,由于已对其进行了配置,因此可以将其用于任何本地资源(无论身份系统或供应商如何)以及任何云环境(无论供应商如何)信任证书。由于SAML令牌是使用其自己的受信任证书签名的,因此组织可能会遗漏异常。 ● 获取高权限账户 使用通过上述技术或其他方式获得的高特权帐户,攻击者可以将自己的凭据添加到现有的应用程序服务主体,从而使他们能够使用分配给该应用程序的权限来调用API。     (消息及封面来源:cnBeta)

英特尔和微软大力推动 PRM,替代 SMM 执行相关代码

鉴于 UEFI SecureBoot 诞生初期种种令人头疼和担忧的问题,对于资深的 Linux 用户来说在听到微软正以安全的名义开发另一个固件级别的标准这无疑会引起更多的担忧… 微软和英特尔一直牵头平台 Runtime 机制(PRM),将代码从系统管理模式(SMM)中挪出来并在 OS/VMM 内容中执行。 目前 PRM 仍在开发中,不过已经邀请 Windows Insider 项目成员进行测试。而 Linux 的支持将会在 ACPI 规范完成之后提供。PRM 已经上线一年多时间了,主要目的是将更多的代码从“潜伏的黑箱子”–SMM中挪出来,并移入到 OS/VMM 内容中进行执行。虽然,微软将 SMM 称其为“黑盒子” 有点讽刺意味,但 SMM 存在恶意 Rootkit 和其他问题,让很多人都对 SMM 有所关注。 但是,除了围绕SMM的安全问题外,还可能存在性能影响和其他因素,因此英特尔和微软一直在推动将不需要 SMM 特权的 SMI 处理程序挪出来,通过暂定的 PRM 来进入操作系统中运行。SMM 依然保留部分需要提权的处理程序。 通过 TianoCore 的 edk2 过渡 PlatformRuntimeMechanisms 分支,稳定了PRM的开源通用基础结构实现。还提供了开放源代码的示例PRM模块以及文档。实际的 PRM 规范虽然仍待 ACPI 和 UEFI 工作组确定,但听起来将在 2021 年敲定。最新的 Windows Insider 版本已经提供了初步的支持,而 Linux 对 PRM 的支持将在 PRM 规范发布之后部署,并且内核代码经历了通常的上游审查过程。       (消息来源:cnBeta;封面来自网络)

微软推出 Pluton 安全处理器 携手 AMD 、英特尔、高通构建统一体系

提升计算机和网络安全性的一个主要原则,就是尽可能减少系统中可被攻击入侵的位面。此外在虚拟化的处理上,也需要结合软硬件的附加安全层,辅以全面的检测与保护特性。为了打造一个更加统一的体系,微软想到了为 Windows 搭配 Pluton 安全处理器,并且向 AMD、英特尔和高通伸出了橄榄枝。 据悉,在 Xbox 主机和 Azure Sphere 生态系统中率先得到应用的 Pluton 安全处理器,可实现类似于可信平台模块(TPM)的全栈芯片到云安全特性。 过去十多年时间里,TPM 一直是服务器安全性的一个重要组成部分,为安全密钥和其它验证系统完整性的元数据提供了物理存储空间。 此外在移动市场,内置 TPM 方案允许展开其它形式的安全验证,比如 Windows Hello 生物识别和 Bitlocker 加密。 然而微软指出,随着时间的推移,这些系统中的物理 TPM 模块已成为现代安全设计的薄弱环节。 具体说来是,在获得了对系统的物理访问权限之后,TPM 模块将变得毫无用处,导致传输中的数据被劫持(或发动中间人攻击)。 更糟糕的是,由于 TPM 是大多数服务器环境中的一个可选组件,因此物理模块到 CPU 的数据路径,也成为了一个重要的攻击位面。 有鉴于此,微软希望能够与 AMD、英特尔、高通之类的芯片制造商共同推进 Pluton 安全处理器项目,以将与 TPM 等效的产品直接纳入未来每台 Windows PC 的芯片中。 推广初期,Pluton 架构将模拟成一个 TPM 模块,以兼容现有的安全协议套件。但由于其已内置于芯片之中,则可大幅降低任何潜在的物理攻击位面。 之后 Pluton 体系架构还有望启用 TPM 功能的超集,且微软强调了独特的 SHACK 安全硬件密码技术(使安全密钥永远不会暴露在硬件环境之外)。 最终通过与社区之间的广泛合作(比如 Open Cute / Cerberus 项目)来启用基于根信任的固件身份验证。 据悉,上述三家芯片制造商均已将 Pluton 作为首个安全保护层,不过芯片厂家自家的技术可以更沉底一些(比如 AMD 的 PSP 方案)。 鉴于目前 AMD 已经同微软合作开发了面向主机平台的 Pluton 产品,它与其它技术(比如安全加密虚拟化)一起出现在 AMD 的消费 / 企业级芯片中,应该也不是一件难事。 至于英特尔,其表示与微软保持着长期的合作伙伴关系,这有助于 Pluton 安全处理器技术的顺利整合,但拒绝披露可能的时间表。 最后,从某种意义上来说,高通的加入是有些出乎意料的。但 Pluton 与苹果公司的 T2 安全芯片,显然存在着许多相似之处。早前发布的 Apple Silicon Mac,就已在 M1 处理器中集成了相关功能。       (消息来源:cnBeta;封面来自网络)

微软安全公告一年半后 仍有 245000 台设备尚未修复 BlueKeep 高危漏洞

在微软披露存在于 Windows RDP 服务中的 BlueKeep 高危漏洞一年半后,目前至少仍有 245000 台 Windows 设备尚未修复该漏洞,意味着它们依然容易受到黑客的攻击。BlueKeep 于2019年5月首次发现,在对 950000 台设备的扫描中发现 25% 的设备存在该漏洞。 同样地,超过 103000 台 Windows 设备仍然容易受到 SMBGhost 的攻击,这是存在于2020年3月发布的新版 Windows 附带的服务器消息块v3(SMB)协议中的漏洞。 这两个漏洞都使攻击者可以远程控制Windows系统,并且被认为是过去几年Windows中披露的一些最严重的错误。然而,根据 SANS ISC 管理员 Jan Kopriva 在过去几周进行的研究,尽管这两个漏洞非常严重,但许多系统仍未打补丁。 根据这名来自捷克的安全研究人员的说法,目前全球仍有数百万台设备存在安全隐患,而且管理员无法修复它们,导致非常容易被恶意攻击者接管。这些系统包括 IIS 服务器、Exim 电子邮件代理,OpenSSL 客户端和 WordPress 网站等系统。 这些系统为何未打补丁的原因仍然未知,但即使是美国政府网络安全机构最近发出的警告也没有帮助。尽管有这些警告,仍然有超过 268,000 台 Exim 服务器未针对Exim错误进行修补,而超过 245,000 台针对 BlueKeep 未进行修补。         (消息来源:cnBeta;封面来自网络)

微软认为基于短信的多重安全认证机制并不安全 应该被放弃

身为微软身份安全总监的Alex Weinert写了一篇博客文章,强调了摆脱基于公共交换电话网络(PSTN)的多因素认证(MFA)机制的必要性。这位高管强调了基于PSTN的MFA系统存在安全隐患的各种理由,如短信和语音验证码,他强调,MFA本身是必不可少的,只是人们使用它的方式应该改变。 Weinert表示,基于PSTN的机制是目前最不安全的MFA方法,因为实际上所有的利用技术,如网络钓鱼和账户接管等仍然可以借此进行。一旦攻击者将兴趣转移到破解MFA系统上,这种情况只会变得更糟,而这取决于公众使用MFA系统的程度。此外,PSTN消息也不能适应不同类型的用户,所以通过它们进一步提高安全性的潜力是有限的。 例如,攻击者可以在大多数网络上部署软件来拦截基于PSTN的消息,意味着这又是一个独特的攻击面,对于恶意行为者来说是有利用价值的。 值得注意的是,大多数PSTN系统都有在线账户和丰富的客户支持基础设施支持。可悲的是,客户支持代理很容易受到魅惑、胁迫、贿赂或敲诈。如果这些社会工程学攻击成功,客户支持可以提供对SMS或语音通道的访问。虽然社会工程攻击也会影响电子邮件系统,但主要的电子邮件系统(如Outlook、Gmail)拥有更发达的 “肌肉”,可以通过其支持生态系统防止账户泄露。这就导致了从信息拦截、呼叫转发攻击到SIM卡劫持等一切问题。 不幸的是,PSTN系统并不是100%可靠,报告也不是100%一致。这取决于地区和运营商,但消息到最终接收人那里的路径可能会影响它需要多长时间才能得到,以及是否完全得到它。在某些情况下,运营商会在投递失败时报告投递情况,而在另一些情况下,消息的投递可能需要足够长的时间,以至于用户认为消息已经无法通过。在一些地区,投递率甚至低至50%。MFA提供商没有实时信号反馈来提示问题的出现,只能依靠统计完成率或服务台电话来发现问题,这意味着向用户提供替代方案或警告问题的信号难以提供。 不仅如此,监管方面,有关短信和通话的规定变化很快,而且各地区的规定也不尽相同,当使用基于PSTN的MFA系统时,可能会导致中断。     (消息来源:cnBeta;封面来自网络)

微软已经放弃了 Office 2010 但第三方服务 0patch 仍然会提供安全补丁

Office 2010这一标志性的微软办公套件的经典版本从10月起不再受到官方支持,但第三方补丁服务团队0patch表示,它将通过其微补丁帮助用户防范漏洞,继续为Office 2010延长寿命。虽然微补丁一般只会提供给拥有专业或企业订阅的0patch付费客户,但该公司表示,”我们可能偶尔会决定向0patch免费用户提供一些这些微补丁,例如有望帮助减缓全球蠕虫的爆发的时候”。 然而,如果需要保证补丁安装后持续有效,需要确保原来就安装了最新版本的Office 2010以及所有可用的官方更新. 还记得0patch是如何让人们”安全地采用”Windows 7和Server 2008 R2的吗? 当他们在2020年1月达到支持结束的时候,0patch就已经针对这些系统中的21个高危漏洞发布了微补丁,其中最受欢迎的无疑是针对Zerologon(CVE-2020-1472)的微补丁,这个漏洞几乎影响了所有Windows,目前正被勒索软件团伙广泛利用。 由于Office 2010在上个月已经达到了支持的终点,而且许多组织表示有兴趣保持它的安全,0patch决定也开始设法让人们”安全采用”Office 2010,截止发稿,这项服务已经普遍可用。 这个服务是如何运作的呢?与0patch为 Windows 7 和 Windows Server 2008 R2 所做的工作类似,安全研究人员从各种来源收集 Office 2010 的漏洞信息:合作伙伴、安全社区、公共来源,以及通过测试新发现的影响仍受支持的 Office 版本的漏洞是否也会影响 Office 2010。当安全人员在评估中发现一个高风险的漏洞,并且有足够的数据来重现它时,就会为它创建一个微修补程序,这些程序在完全更新后的Office 2010上运行。就像Windows 7和Server 2008 R2一样。     (消息及封面来源:cnBeta)

微软准备让存在漏洞的 Windows 10 Build 1809 寿终正寝

按照今年早些时候更新的生命周期,微软正准备退役另一个Windows 10版本, 它是Windows 10 Build 1809,或者说2018年10月更新,一直是微软桌面操作系统最具争议的功能更新之一,许多人实际上将其描述为该公司迄今为止最大的失败。 而这一切都是因为2018年10月更新出厂时存在一个重大的bug,有可能导致某些存储在库中的用户文件被删除,这一切都因为微软在向生产设备推出新版本之前实际上没有解决这个问题。这家软件巨头最终决定暂时撤下该更新,只是在大约一个月后重新发布了该更新,并出现了其他错误。 Windows 10 2018年10月更新本应在今年5月退役,但由于全球健康危机迫使我们许多人开始在家工作,该公司最终决定将其支持结束日期延长六个月。这个想法很简单,因为它可以很简单。IT管理员因此有更多的时间来升级电脑,从而为Windows10版本1809的消亡做准备。 微软表示,该版本的最终安全更新将于2020年11月10日发布,而不是2020年5月12日。3月,我们宣布将暂停所有支持的Windows客户端和Windows服务器版本的可选非安全更新发布(也称为 “C “和 “D “版本),以使组织有时间在全球疫情大流行的情况下专注于业务连续性。 现在时间到了,Windows 10 Build 1809预计将在下周退役,用户再次被警告应尽快升级设备。不过并不是所有的SKU都会受到这一变化的影响,微软还将停用针对消费者的版本。Windows 10版本1809的教育和企业SKU将继续像以前一样提供服务。 那么,对于仍在运行2018年10月更新的Windows 10用户来说,下一步是什么?基本上,继续接收更新的最简单方法就是安装更新版本的Windows 10。最近,微软已经启动了2020年10月更新的推出,这个更新因此更新了两年,它带有微软开发的最新功能,包括主题感知的实时磁贴和其他改进。 不过,10月更新的推出是分阶段进行的,并不是所有的设备现在都能从Windows Update中下载。不过,其他方法,比如媒体创建工具,可以让用户安装10月更新,而无需等待这个版本出现在Windows Update上。         (消息及封面来源:cnBeta)  

微软称伊朗黑客正密集攻击高价值的国际会议参与者

微软表示,由伊朗政府支持的黑客针对两个国际安全和政策会议的100多名高调的潜在与会者发动攻击。这个名为Phosphorus(或APT35)的组织发送了伪装成慕尼黑安全会议(国家元首出席的主要全球安全和政策会议之一)和定于本月晚些时候在沙特阿拉伯举行的Think 20峰会组织者的伪装邮件。 微软表示,这些伪造的电子邮件是发给前政府官员、学者和政策制定者,目的是窃取密码和其他敏感数据。 当被问及这次行动的目标是什么时,微软没有发表评论,但该公司的客户安全和信任主管汤姆-伯特表示,这些攻击是为了 “情报收集目的”。攻击成功地损害了几名受害者,包括前大使和其他高级政策专家,他们帮助制定各自国家的全球议程和外交政策。微软表示,已经与会议组织者合作,并将继续警告他们的与会者,微软正在披露我们所看到的情况,以便每个人都能对这种攻击方法保持警惕。 微软表示,攻击者会给目标写一封用完美英语书写的邮件,邀请目标参加会议。在目标接受邀请后,攻击者会试图欺骗受害者在一个虚假的登录页面上输入他们的电子邮件密码。随后,攻击者再登录邮箱,窃取受害者的电子邮件和联系人。该组织之前的黑客活动也曾试图窃取高知名度受害者的密码。由于伊朗驻纽约领事馆网站瘫痪,无法联系到伊朗领事馆发表评论。 众所周知,Phosphorus(或APT35)的目标是高调的个人,比如政治家和总统候选人。但微软表示,这次最新的攻击与即将举行的美国总统选举无关。去年,微软表示已经通知了超过1万名国家支持的黑客攻击的受害者,这些黑客包括包括Phosphorus和另一个伊朗支持的组织Holmium,也就是APT 33。3月,这家科技巨头获得了一项法院命令,要求控制Phosphorus使用的域名,这些域名被用来使用虚假的谷歌和雅虎登录页面窃取凭证。     (消息来源:cnbeta;封面来自网络)

微软修复远程执行漏洞:能通过 iPhone 视频文件远程控制 PC

由于微软操作系统在处理 HEVC 文件方式上存在漏洞,那些使用 Windows 设备的 iPhone 用户在浏览和编辑视频文件的时候存在被黑客远程攻击的风险。该漏洞于上周被发现,存在于微软的 Windows Codecs Library 中,能接管未修复的设备并执行远程代码。美国网络安全和基础设施安全局已于上周五将威胁标记为“威胁”。 与大多数远程攻击媒介一样,用户通过打开特殊设计的有效负载(在本例中为 HEVC 图像文件)来触发任意代码执行。Windows 对编解码器的处理不当,触发了似乎是内存溢出的错误,从而导致系统被入侵并可能进行远程接管。 正如外媒 PC World 所指出的,iPhone 用户特别容易受到这个 Windows 漏洞的影响,尤其是当前手机版本严重依赖 HEVC 进行视频录制。自 iPhone 7以来,Apple就提供了该编解码器,并已成为iOS 11的标准高分辨率视频文件格式。 此外,长期使用 iPhone 的用户可能习惯于接收 HEVC 视频附件或在线查看文件格式,而从微软商城手动下载HEVC或“来自设备制造商的HEVC”编解码器的用户也容易受到攻击。 微软上周发布了该漏洞的补丁。 1.0.32762.0、1.0.32763.0和更高版本被认为可以安全使用,用户可以从公司的在线商店下载。     (稿源:cnbeta;封面来自网络)