标签: 微软

微软将修改 HOSTS 屏蔽 Win10 遥测数据视作一个严重的安全风险

作为完善 Windows 10 开发的一个重要组成部分,微软希望联网用户允许其上传部分遥测用的系统数据。通常情况下,它会包括 CPU、内存等硬件的基础配置信息,并在传输过程中予以完全的加密。基于分析,微软得以确定系统的安全性和可靠性问题,从而为后续的修复奠定基础。 尽管微软不允许用户彻底禁用遥测收集,但你始终可以清理被 Windows 收集的相关诊断数据。 矛盾的是,虽然遥测被视作 Windows 10 开发所必须、且其它企业也在利用相同的方案来改进其软件,但一些批评人士仍将其视作微软的一项“间谍”行为。 近日,微软为 Windows 10 内置的 Windows Defender(又名 Microsoft Defender)安全软件引入了一项更改。 当检测到用户尝试通过编辑 HOSTS 文件来阻止遥测时,该软件就会发出相应的警告。 维基百科上的资料称,HOSTS 文件被用于辅助网络名称解析(即主机名称到 IP 地址的相关映射)。 但在近日的 Windows 10 更新之后,Microsoft Defender 将特别检查用户的 HOSTS 文件是否已经阻止了微软的遥测服务。 如果尝试编辑 HOSTS 文件以阻止遥测,则会触发 Windows Defender 的这一警告,以阻止用户采取这一措施。 你会注意到对 HOSTS 文件的相关编辑操作将被拒绝保存,且被安全中心标记为“SettingsModifier:Win32 / HostsFileHijack”。 除非点击允许放行,否则这项涉及“严重安全风险”的文件编辑操作将无法继续。当然,这项更新也有助于防止系统文件遭遇其它形式的恶意篡改。     (稿源:cnBeta,封面源自网络。)

微软修复了 2018 年起就存在的 0day 级别 Windows 文件签名漏洞

作为8月11日补丁周二的一部分,一个0day级别的漏洞被修复,它影响到Windows 7、Windows 8.1、Windows 10和几个Windows Server版本,微软还承认已经留意到利用此漏洞发生的攻击已经出现。这是操作系统中的一个欺骗漏洞,详情记录在CVE-2020-1464中,后果是黑客最终可以通过成功利用它来加载不当签名的文件。 “存在一个欺骗漏洞可以令Windows错误地验证文件签名。成功利用该漏洞的攻击者可以绕过安全功能,加载不正当签名的文件。在攻击场景中,攻击者可以绕过旨在防止加载不当签名文件的安全功能。”微软表示,看起来这个缺陷从2018年起就存在。 KrebsOnSercurity透露,该欺骗漏洞最早是由VirusTotal的经理Bernardo Quintero向微软报告的,公司随后向他证实了这一发现。但是,”微软已经决定不会在当前版本的Windows中修复这个问题,并同意我们能够在博客上公开报道这个案例和我们的发现。”在引用源强调的一篇博客文章中如此描述。 安全研究员、KZen Networks的创始人Tal Be’ery也指出,有证据表明该缺陷在2018年夏天就被发现了,不知为何微软当时就决定不打补丁。 微软则回避了关于为什么要等到现在才打补丁的问题。但更糟糕的是,微软在2018年不发布修复程序,等到2020年8月才解决操作系统缺陷,这意味着本身就暴露在攻击之下的Windows 7设备不再获得补丁,因为其非付费性质的支持早在2020年1月就结束了。     (稿源:cnBeta,封面源自网络。)

微软 2020 年 8 月周二补丁修复 120 个漏洞和 2 个零日漏洞

据外媒报道,微软今日开始推出August 2020 Patch Tuesday(2020年8月周二)安全更新补丁。从Edge到Windows再到SQL Server、.NET Framework,这家公司为13款产品修复了120个漏洞。在本月修复的120个漏洞中,有17个漏洞被评为“严重”级别,还有两个零日漏洞–不过在微软提供今日补丁之前,黑客就已经利用了这些漏洞。 零日漏洞# 1 本月修复的两个零日漏洞中的第一个是Windows操作系统中的一个漏洞。据微软披露,攻击者可以利用被追踪到的CVE-2020-1464漏洞让Windows让不正确的文件签名生效。 这家操作系统制造商指出,攻击者可以利用这个漏洞绕过安全特性,加载不正确签名的文件。 就像所有微软的安全建议一样,关于漏洞和真实攻击的技术细节还没有公开。微软安全团队使用这种方法来防止其他黑客推断漏洞是如何以及在哪里存在的并延长其他漏洞出现的时间。 零日漏洞# 2 至于第二个零日漏洞–CVE-2020-1380出现在IE附带的脚本引擎中。微软表示,它收到了来自杀毒软件制造商卡巴斯基的报告,黑客发现IE脚本引擎中的远程代码执行(RCE)漏洞并在现实世界中滥用它。 虽然这个漏洞存在于IE脚本引擎中,但微软其他本地应用也受到了影响,比如该公司的Office套件。这是因为Office应用使用IE脚本引擎在Office文档中嵌入和呈现web页面,脚本引擎在这一特性中扮演了主要角色。 这意味着黑客可以通过引诱恶意网站上的用户或发送陷阱式办公文件来对漏洞加以利用。     (稿件与封面来源:cnBeta)

微软发布紧急安全更新 修复 Windows 10/Server 中的安全漏洞

距离本月的补丁星期二活动日还有大约两周时间,但由于在 Windows 10 以及 Windows Server 中发现了安全漏洞,今天微软发布了两个紧急安全更新。微软表示,这两个漏洞虽然没有公开披露,被黑客利用的可能性较小,但公司等不到7月14日的补丁星期二活动日发布这个更新了。 微软在安全公告中写道:“微软Windows Codecs Library处理内存中对象的方式存在远程代码执行漏洞。成功利用该漏洞的攻击者可以获取信息,进一步危害用户的系统。” 据悉,受影响的 Windows 版本包括 Windows 10 version 1709 Windows 10 version 1803 Windows 10 version 1809 Windows 10 version 1903 Windows 10 version 1909 Windows 10 version 2004 Windows Server 2019 Windows Server version 1803 Windows Server version 1903 Windows Server version 1909 Windows Server version 2004   (稿源:cnBeta,封面源自网络。)

微软向公众开放与新冠病毒相关的黑客攻击活动的威胁数据

据外媒报道,微软周四宣布,该公司正在将其收集的与新冠病毒相关的黑客攻击活动的威胁情报公开。“作为一个安全情报社区,当我们分享的信息能够提供更完整地了解攻击者的转移技术时,我们就会更强大,”微软威胁情报团队在一篇博文中说。“这种更完整的视图使我们都能更主动地保护、检测和防御攻击。” 微软决定开放其feed,以提高人们对攻击者在新冠大流行期间不断变化的技术的认识–尤其是对于那些可能不具备该公司所拥有的广泛可见性的人来说。该安全团队写道:“微软每天处理跨越身份、端点、云端、应用和电子邮件的数万亿个信号,这为我们提供了广泛的COVID-19主题攻击的可视性,使我们能够在整个安全栈中检测、保护和应对这些攻击。” 由26个成员组成的网络安全威胁共享非营利组织 “网络威胁联盟”(Cyber Threat Alliance)总裁兼首席执行官迈克尔-丹尼尔(Michael Daniel)表示,大流行期间犯罪活动的转变首次将目标锁定在使用新平台的人身上。 “总的来说,安全行业的恶意活动数量并没有增加;但是,我们看到这种犯罪活动的重点发生了迅速而急剧的转移,”前白宫网络安全协调员Daniel告诉CyberScoop。“坏人已经试图利用人们的恐惧、整体信息的匮乏以及许多在线平台的首次用户的增加等因素,将重点转移到了COVID-19的相关主题上。” 在网络犯罪分子和国家行为者开始用新冠病毒和医疗保健主题的鱼叉钓鱼邮件或虚假的移动应用程序在全球范围内瞄准受害者几个月后,微软进行了这一举动。微软正在提供的信息包括在大流行病相关的鱼叉钓鱼电子邮件活动中的恶意附件中使用的文件散列指标。其中包括的许多电子邮件诱饵都模仿了世界卫生组织和红十字会的品牌,而其他诱饵似乎是在与目标共享有关COVID-19的信息。 微软分享的283个威胁指标可以通过微软的Graph Security API或Azure Sentinel的GitHub页面获得。 Mandiant Threat Intelligence的高级首席分析师Sarah Jones告诉CyberScoop,这种公开的共享很可能会对致力于打击新冠病毒相关威胁的中小型企业有所帮助。“我们还没有机会观察到微软的这一功能,不过,拥有多种方式整合和查询外部的intel feeds,对于网络防御者来说总是有帮助的。”ones说。“此外,向客户发布高质量的和经过审核的‘Compromise指标’馈送,对于中小型企业来说,可以成为一种力量的倍增器。” Cofense首席技术官Aaron Higbee对这一举措表示欢迎,但他补充说,滥用微软Office 365的网络钓鱼邮件非常猖獗。 “我们赞扬所有的努力,以保护人们免受网络钓鱼攻击的攻击,这些攻击利用了人们对大流行病的恐惧和担忧。”Higbee告诉CyberScoop。“Cofense的客户对微软无法过滤掉网络钓鱼邮件表示出越来越多的不满。当他们得知钓鱼邮件来自于Office 365账户,并且钓鱼套件托管在Office 365上时,他们就会变得特别恼火。我很好奇,在微软选择分享的283个网络钓鱼指标中,有多少个是托管在Office 365内的。” 几个星期前,多个网络安全志愿者团体联合起来,帮助医疗机构在大流行期间应对突发的网络安全威胁。其他公司此前已经宣布,他们正在更广泛地提供服务。   (稿源:cnBeta,封面源自网络。)

多操作系统平台资产风险状况研究:微软漏洞最多

Kenna Security 发布了一份新的报告,其中对 Microsoft、Linux 和 Mac 资产的风险状况进行了研究。Cyentia 研究所撰写了《 Prioritization to Prediction: Volume 5: In Search of Assets at Risk》报告,该报告基于 Kenna Security 来自 450 个组织的 900 万资产的数据。 报告指出,微软资产的 70% 至少具有一个高风险漏洞。在整个研究期间,研究人员共发现了 Microsoft 资产中的 2.15 亿个漏洞,其中已完成修复的漏洞有 1.79 亿个,占比 83%。根据 Kenna Security 的说法,其余未修补的 3600 万个漏洞要高于 Max、Linux 和 Unix 资产的总和。 微软还拥有最高的封闭式高风险漏洞百分比,为 83%。紧随其后的是 Apple OSX,其次是 Linux/unix 和网络设备/IoT 设备。此外,40% 的 Linux 和 Unix 资产以及 30% 的网络设备具有已知漏洞。 不过,Kenna Security 也指出,较少的漏洞不一定表示设备更安全。在一个单个高风险漏洞可能造成灾难性后果的世界中,有效的补丁程序优先级和速度是安全性的关键,而与设备或软件类型无关。 尽管 Microsoft 具有比其他漏洞更多的漏洞,但这不一定表示其存在总风险,因为 Microsoft 还可以更快地修复漏洞。该报告发现,基于 Windows 的资产每月平均有 119 个漏洞,并且平均每 36 天修补一次这些漏洞。与此相比,网络设备每月平均只有 3.6 个漏洞,但这些漏洞则大约需要一年的时间才能完成修补。 苹果的补丁率位列第二高,为 79%。Linux、Unix 和其他网络设备的补丁率则为 66%。 Cyentia Institute 的合伙人兼创始人 Wade Baker 表示:“通过自动修补和’Patch Tuesdays’,Microsoft 能够解决其系统上的关键漏洞的速度非常出色,但其仍然存在很多漏洞。 “另一方面,我们看到许多资产,例如 routers 和 printers,它们的高风险漏洞具有更长的保质期。公司需要围绕这些权衡因素调整其风险承受能力,策略和漏洞管理功能。” 报告地址: https://www.kennasecurity.com/resources/prioritization-to-prediction-report-volume-five   (稿源:cnBeta,封面源自网络。)

微软发布令牌漏洞公告:可绕过 Chromium 沙盒执行任意代码

谷歌的安全团队近日发现存在于Windows 10 May 2019(Version 1903)功能更新中的某个BUG,能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂,主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。 在今天微软发布的安全公告(CVE-2020-0981 | Windows令牌安全特性绕过漏洞)对其进行了最简洁的解释: 当Windows无法正确处理令牌关系时,存在安全功能绕过漏洞。成功利用该漏洞的攻击者可以让具有一定完整性级别的应用程序在不同的完整性级别执行代码,从而导致沙盒逃脱。 谷歌的Project Zero安全团队发现了这个漏洞,如果被黑客利用能够绕过Chromium沙盒,运行任意代码。幸运的是,在本月补丁星期二活动日发布的累积更新(KB4549951)中,已经修复了这个漏洞。   (稿源:cnBeta,封面源自网络。)

47000 名开发者每月产生 30000 个漏洞 微软是如何用 AI 排查的

目前微软共有47000多名开发人员,每月会产生将近30000个漏洞,而这些漏洞会存储在100多个AzureDevOps和GitHub仓库中,以便于在被黑客利用之前快速发现关键的漏洞。 微软的高级安全项目经理Scott Christiansen,大量的半策展(semi-curated)数据非常适合机器学习。自2001年以来,微软已经收集了1300万个工作项目和BUG。 Christiansen表示:“我们利用这些数据开发了一个流程和机器学习模型,它能在99%的时间内正确区分出安全和非安全漏洞,并能准确识别出关键的、高优先级的安全漏洞,97%的时间内准确识别出关键的、高优先级的安全漏洞。” 微软构建的机器学习模型中,旨在帮助开发者准确识别和优先处理需要修复的关键安全问题,并对其进行优先级排序。Christiansen表示:“我们的目标是建立一个机器学习系统,以尽可能接近安全专家的准确度将BUG分为安全/非安全和关键/非关键”。 为了实现这个目标,微软对学习模型进行了诸多培训,提供了很多标记为安全的BUG以及其他标记为不安全的BUG。该模型经过训练之后,能够基于掌握的信息来给没有被预先分类的数据打上标签。   (稿源:cnBeta,封面源自网络。)

微软发布紧急更新 修复 Office 和 Paint 3D 应用中 RCE 漏洞

微软今天发布了一个紧急安全更新,修复了存在于微软Office和Paint 3D应用中的多个漏洞。这些漏洞存在于使用Autodesk FBX库的微软应用中,而Autodesk官方也在4月15日为受影响的产品发布了修复补丁。 微软在其公告中解释说,攻击者如果成功利用上述漏洞,将能够获得与登录用户相同的权限,这意味着恶意行为者甚至可以在受影响的机器上获得管理员权限。 微软解释说:“在微软产品中存在多个远程代码执行漏洞,在处理某些特别制作的3D内容时调用FBX库就会出现问题。成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。对于那些权限较少的用户来说影响可能会更小一些。” 微软表示:“要利用这些漏洞,攻击者必须向用户发送一个包含3D内容的特制文件,并说服用户打开该文件。本次发布的紧急安全更新通过修正微软软件已经修复了这些漏洞。” 这些安全补丁被评级为“重要”,据悉Microsoft Office 2016、Microsoft Office 2019和Office 365 ProPlus都受该漏洞影响。   (稿源:cnBeta,封面源自网络。)

微软发布字体解析远程代码执行漏洞补丁,建议用户尽快修补

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/RvTZWvcXiXsI7xB6L9RWIg 漏洞背景 3月23日,微软发布公告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞,当Windows Adobe Type Manager Library处理Adobe Type 1 PostScript 格式字体时存在两个远程执行代码漏洞。 4月15日,谷歌安全团队称已发现该漏洞的野外利用,微软在4月例行安全更新中,已修补CVE-2020-1020/CVE-2020-0938漏洞。 腾讯安全团队已对漏洞进行分析,该漏洞可稳定利用: 视频详见:https://mp.weixin.qq.com/s/RvTZWvcXiXsI7xB6L9RWIg 漏洞版本 Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1709 for 32-bit Systems Windows 10 Version 1709 for ARM64-based Systems Windows 10 Version 1709 for x64-based Systems Windows 10 Version 1803 for 32-bit Systems Windows 10 Version 1803 for ARM64-based Systems Windows 10 Version 1803 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems Windows RT 8.1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server, version 1803 (Server Core Installation) Windows Server, version 1903 (Server Core installation) Windows Server, version 1909 (Server Core installation) 漏洞分析 漏洞模块为atmfd.sys(Windows 10 1703后是fontdrvhost.exe),成因在于Windows解析PostScript字体中的BlendDesignPositions或BlendVToHOrigin时,没有经过安全检查,导致处理模块可能引发越界写,栈溢出的问题。 SetBlendDesignPositions BlendDesignPositions格式如下: Win7 x86环境下,atmfd!SetBlendDesignPositions在解析BlendDesignPositions array时,会将内容全部保存到栈上,缓冲区的大小是960(0x3C0),因此最多存放16个sub-array,当sub-array数量大于16时,会引发溢出: ParseBlendVToHOrigin atmfd!ParseBlendVToHOrigin在处理数组BlendVToHOrigin时存在两处溢出。 Win7x86下由于定义的int v12[2]仅有8个字节,当NumMasters大于2时,引发缓冲区溢出: NumMasters大小可以在字体文件中通过构造特殊的BlendDesignPositions或WeightVector控制: 第二处溢出发生在atmfd.sys读取BlendVToHOrigin时,首先获取当前NumMasters并根据其大小将BlendVToHOrigin的数据复制到栈中的V11,由于NumMasters可控,当NumMasters过大时会对栈中的v11造成溢出,V11同样也是8字节: 第二次溢出时,由于V12在V11的高地址方向,所以当V11溢出时会覆写V12中保存的指针。 补丁分析 由于win7已停止更新,win10 1703后微软把atmfd.sys模块的功能移植到fontdrvhost.exe中,补丁前后漏洞模块共做了2处修改,2个函数均存在栈溢出漏洞: 补丁后SetBlendDesignPositions中增加了条件判断,sub-array数量超过16时返回错误,避免溢出: 补丁后ParseBlendVToHOrigin中启用了GS保护栈的完整性,并在读取BlendVToHOrigin数组前,限制了NumMasters大小; 解决方案 1. 推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客利用漏洞的攻击行为进行检测。腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta 腾讯T-Sec高级威胁检测系统可检测利用Type 1字体漏洞的攻击行为 2.推荐企业用户使用腾讯T-Sec终端安全管理系统(御点)修补各终端系统的安全漏洞,个人用户可使用腾讯电脑管家的漏洞修补功能安装补丁,也可使用Windows Update。 时间线 3月23日,微软发布通告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞; 3月24日,腾讯安全发布漏洞通告; 4月15日,微软官方发布CVE-2020-1020/CVE-2020-0938漏洞通告及补丁。 参考链接: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1020 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0938