Hackernews 编译，转载请注明出处： 新的研究揭示了Microsoft 365中所谓的安全漏洞，由于使用了损坏的加密算法，该漏洞可能被利用来推断邮件内容。 芬兰网络安全公司WithSecure在上周发布的一份报告中表示：“[Office 365消息加密]消息是在不安全的电子密码本（ECB）操作模式下加密的。” Office 365邮件加密（OME）是一种安全机制，用于在组织内外的用户之间发送和接收加密的电子邮件，而不会透露任何有关通信本身的信息。 新披露的问题的影响是，获得加密电子邮件访问权限的流氓第三方可能能够破译这些消息，从而有效地破坏了机密性保护。 电子密码本是最简单的加密模式之一，其中每个消息块由密钥单独编码，这意味着相同的明文块将被转换为相同的密文块，因此不适合作为加密协议。 事实上，美国国家标准与技术研究院（NIST）今年早些时候指出，“欧洲央行模式独立加密明文块，无需随机化；因此，检查任何两个密文块可以揭示相应的明文块是否相等。” 也就是说，WithSecure发现的缺陷与单个消息本身的解密无关，而是依靠分析加密被盗邮件的的泄漏模式，然后对内容进行解码。 该公司表示：“拥有大型消息数据库的攻击者可以通过分析截获消息重复部分的相对位置来推断其内容（或部分内容）。” 这些发现加剧了人们的担忧，即以前泄露的加密信息可能会被解密并在未来用于攻击，这种威胁被称为“现在入侵，稍后解密”，这促使人们需要切换到抗量子算法。 就微软而言，OME是一个遗留系统，该公司建议客户使用名为Purview的数据管理平台，通过加密和访问控制来保护电子邮件和文档。 Redmond在其文档中指出:“尽管两个版本可以共存，但我们强烈建议您编辑使用规则操作的旧邮件流规则，应用上一个版本的OME以使用Microsoft权限消息加密。” WithSecure说：“由于微软没有修复此漏洞的计划，唯一的缓解措施是避免使用微软Office 365邮件加密。” 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

援引 Ars Technica 报道，微软近三年来始终无法正确保护 Windows PC 免受恶意驱动程序的侵害。尽管微软表示其 Windows Update 根据设备的不同将新的恶意驱动程序添加到已下载的阻止列表中，但这些列表并未奏效。 由于设备方面的差距让用户非常容易受到“带上自己脆弱的驱动”（bring your own vulnerable driver，BYOVD）攻击。 驱动程序是计算机操作系统用来与外部设备和硬件（例如打印机、显卡或网络摄像头）通信的文件。由于驱动程序可以访问设备操作系统或内核的核心，因此微软要求所有驱动程序都经过数字签名，以证明它们可以安全使用。但是，如果现有的数字签名驱动程序存在安全漏洞，黑客可以利用此漏洞直接访问。 目前已经有证据表明黑客利用这种方式发起攻击。8 月，黑客对用于超频的实用程序 MSI AfterBurner 下手，在这个存在缺陷的驱动程序上安装了 BlackByte 勒索软件。近期另一件此类事件是网络犯罪分子利用游戏 Genshin Impact 的反作弊驱动程序中的漏洞。 朝鲜黑客组织 Lazarus 于 2021 年对荷兰的一名航空航天雇员和比利时的一名政治记者发动了 BYOVD 攻击，但安全公司 ESET 直到上个月底才曝光。 正如 Ars Technica 所指出的，微软使用了一种称为虚拟机管理程序保护代码完整性 (HVCI) 的东西，它应该可以防止恶意驱动程序，该公司表示，某些 Windows 设备默认启用该驱动程序。 然而，Ars Technica 和网络安全公司 Analygence 的高级漏洞分析师 Will Dormann 都发现，此功能无法为恶意驱动程序提供足够的保护。 在 9 月发布到 Twitter 的帖子中，Dormann 解释说，他能够在支持 HVCI 的设备上成功下载恶意驱动程序，即使该驱动程序在微软的阻止列表中。 他后来发现，微软的黑名单自 2019 年以来就没有更新过，而且微软的攻击面减少 (ASR) 功能也无法抵御恶意驱动程序。这意味着任何启用了 HVCI 的设备在大约三年内都没有受到不良驱动程序的保护。 微软于本月初修复了这个问题。微软项目经理 Jeffery Sutherland 在回复 Dormann 的推文时说：“我们已经更新了在线文档并添加了一个下载，其中包含直接应用安装包版本的说明。我们还在解决我们的服务流程中的问题，这些问题导致设备无法接收政策更新”。 微软发言人表示：“易受攻击的驱动程序列表会定期更新，但我们收到的反馈是操作系统版本之间的同步存在差距。我们已更正此问题，并将在即将到来的和未来的 Windows 更新中提供服务。文档页面将随着新更新的发布而更新”。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1327727.htm 封面来源于网络，如有侵权请联系删除

RSS源可能不像以前那么流行了，但对于某些事情来说，它们是保持更新的最有效和最有用的手段之一。微软意识到了这一点，在听取了客户的反馈意见后，推出了一个新的RSS提要，以使人们更容易了解该公司的最新安全通知。 具体来说，现在微软提供了一个安全更新指南（SUG）的RSS源。微软安全响应中心（MSRC）宣布了这一消息，称其目的之一是确保客户拥有及时和容易获得的通知。 考虑到这一点，一个新的电子邮件通知系统已经被建立起来，您可以在这里注册，此外还有一个新的RSS提要： https://msrc-blog.microsoft.com/2022/08/09/security-update-guide-notification-system-news-create-your-profile-now/ 有关新上线的安全通知选项，MSRC介绍。 关于RSS订阅，我们收到了一些客户的反馈，说安全更新指南（SUG）上如果有RSS订阅会受到极大的欢迎。一些客户甚至要求将其作为默认的通信方式。我们听到了你们的反馈，现在大家可以通过在任何RSS阅读器中粘贴RSS提要的URL来获得SUG的更新。点击SUG标题旁边的RSS提要图标，就可以访问XML文件。 可以在任何RSS阅读器中访问该源，订阅地址是：https://api.msrc.microsoft.com/update-guide/rss     转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1326801.htm 封面来源于网络，如有侵权请联系删除

近日，来自DCSO CyTec的安全研究人员Johann Aydinbas和Axel Wauer发现了一个新的恶意软件，名为Maggie，已经感染了全球250多个微软SQL服务器。 据悉，该恶意软件以 “扩展存储过程 “的形式出现，这些存储过程从DLL文件调用功能。装入服务器后，攻击者可以使用SQL查询来控制它，并提供各种功能来运行命令，并与文件互动。该后门还能够强行登录到其他MSSQL服务器，以增加一个特殊的硬编码后门。 此外，该后门还具有对其他MSSQL服务器进行暴力破解登录的能力，同时在成功破解管理员登录的情况下，增加一个特殊的硬编码后门用户。基于这一发现，全球有超过250台服务器受到影响，而且明显集中在亚太地区。一旦被攻击者加载到服务器中，它就只用SQL查询来控制，并提供各种功能来运行命令，与文件互动，并作为网络桥头堡进入受感染的服务器环境。 在调查新的威胁时，专家们发现了一个可疑的文件，该DLL文件由DEEPSoft Co., Ltd.在2022-04-12签署。导出目录显示了库的名称，sqlmaggieAntiVirus_64.dll，它提供了一个名为maggie的单一导出。 检查DLL文件时，专家们发现它是一个扩展存储过程，它允许SQL查询运行shell命令。 Maggie恶意软件支持超过51条命令来收集系统信息和运行程序，它还能够支持与网络有关的功能，如启用TermService，运行Socks5代理服务器或设置端口转发，使Maggie作为桥头堡进入服务器的网络环境。 Maggie还支持由攻击者传递的命令以及附加在这些命令上的参数。 Maggie实现了简单的TCP重定向，允许它作为网络桥头从互联网到被攻击的MSSQL服务器所能到达的任何IP地址的操作。 当启用时，如果源IP地址与用户指定的IP掩码相匹配，Maggie会将任何传入的连接（在MSSQL服务器正在监听的任何端口）重定向到先前设置的IP和端口。该实施方案实现了端口重用，使重定向对授权用户来说是透明的，而任何其他连接的IP都能够使用服务器而不受任何干扰，也不会被Maggie知道。 专家们注意到，支持的命令列表包括Exploit AddUser、Exploit Run、Exploit Clone和Exploit TS。研究人员注意到，用于实现上述命令的DLL在命令的实际执行中并不存在。研究人员假设调用者在发出任何剥削.命令之前，手动上传了剥削DLL。 然后，Maggie会加载用户指定的DLL，寻找一个名为StartPrinter或ProcessCommand（取决于使用的确切命令）的出口，并通过用户提供的参数。 研究人员分享了这种威胁的妥协指标（IoCs），并宣布他们将继续调查，以确定受影响的服务器是如何被利用的。   转自E安全，原文链接：https://mp.weixin.qq.com/s/1H-0pn7nFmPszbpOggt8kg 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： SolarWinds供应链攻击背后的黑客与另一个“高度目标化”的后门恶意软件有关，该恶意软件可用于保持对受损环境的持久访问。 微软威胁情报团队称之为MagicWeb，该开发重申了Nobelium对开发和维护专用功能的承诺。 Nobelium是这家科技巨头的绰号，因为2020年12月针对SolarWinds的复杂攻击曝光了一系列活动，并与俄罗斯民族国家黑客组织APT29，Cozy Bear或The Dukes重叠。 微软表示：“Nobelium仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织、政府间组织和智囊团开展了多项活动。” MagicWeb与另一个名为FoggyWeb的工具有相似之处，据评估，它已部署用于在补救工作期间维护访问权限和抢占驱逐，但只有在获得对环境的高度特权访问并横向移动到AD FS服务器之后。 虽然FoggyWeb具有专门的功能来提供额外有效负载和从Active Directory Federation Services（AD FS）服务器窃取敏感信息，但MagicWeb是一个流氓DLL（“Microsoft.IdentityServer.Diagnostics.dll”的后门版本），它通过身份验证旁路促进对AD FS系统的秘密访问。 “Nobelium部署MagicWeb的能力取决于能否访问对AD FS服务器具有管理权限的高特权凭据，从而使他们能够在其访问的系统上执行任何恶意活动。”微软表示。 此前，一项以APT29为主导的针对北约附属组织的行动被披露，目的是获取外交政策信息。 具体来说，这需要禁用名为Purview Audit（以前称为高级审核）的企业日志记录功能，以从Microsoft 365帐户中获取电子邮件。Mandiant说：“APT29将继续展现卓越的操作安全性和规避战术。” 黑客在最近的操作中使用的另一种新策略是使用密码猜测攻击来获取与休眠帐户相关联的凭据，并将其注册为多重身份验证，从而允许其访问组织的VPN基础设施。 APT29仍然是一个多产的威胁组织。上个月，Palo Alto Networks Unit 42标记了一场网络钓鱼活动，该活动利用Dropbox和Google Drive云存储服务进行恶意软件部署和其他入侵后行动。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Microsoft Security 博客官方发布的最新《Cyber Signals》报告指出，勒索软件即服务 (RaaS)日益猖獗，但是常规的软件设置就能应对，可以阻止大部分勒索软件攻击。此外，报告中还发现客户错误配置云服务、依赖不可靠的安全软件、通过默认宏设置流量勒索软件，这导致微软制造了某种勒索软件攻击，即人为操作的勒索软件。 在报告中指出：“你可能会使用某个热门应用来实现某种目的，但是这并不意味着攻击者将其武器化以实现另一个目标。其中最为常见的是，应用的‘经典’配置意味着它的默认状态，允许该组织内的任意用户进行广泛访问。不要忽视这种风险，也不要担心中断而更改应用设置”。 那么解决方案是什么呢？ 微软威胁情报分析师 Emily Hacker 建议删除重复或未使用的应用程序，这有助于防止有风险的程序成为勒索软件攻击的门户。其次，注意授予 TeamViewer 等应用程序的权限。 Hacker 发现的其他一些勒索软件端点包括密码被盗、身份不受保护、安全产品丢失或禁用以及修补速度缓慢，她为此提供了身份验证、解决安全盲点以及保持系统最新等解决方案。Hacker 分析认为，与实施增强的安全协议相比，早期和常规的预防措施成本更低。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308853.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软公开披露一个关键ChromeOS漏洞的详细信息，该漏洞被追踪为CVE-2022-2587（CVSS评分：9.8）。该漏洞是OS Audio Server中的越界写入问题，可利用该漏洞触发DoS条件，或在特定情况下实现远程代码执行。 “微软在ChromeOS组件中发现了一个可远程触发的内存损坏漏洞，允许攻击者执行拒绝服务（DoS），或在极端情况下执行远程代码执行（RCE）。”微软发布的公告中写道。 作为Chromium bug跟踪系统的一部分，微软于2022年4月向谷歌报告了该问题。 谷歌在6月份解决了该漏洞，攻击者可以使用与歌曲相关的格式错误的元数据触发该漏洞。 Microsoft在服务器中发现一个函数未检查用户提供的“identity”参数，导致基于堆的缓冲区溢出。 OS音频服务器包含一种从代表歌曲标题的元数据中提取“身份”的方法。当播放新歌时，攻击者可以通过浏览器或蓝牙修改音频元数据来触发该漏洞。 我们发现，该漏洞可以通过操纵音频元数据远程触发。攻击者可能诱使用户满足这些条件，例如只需在浏览器或配对的蓝牙设备上播放新歌，或者利用中间对手（AiTM）功能远程使用该漏洞。基于堆的缓冲区溢出的影响范围从简单的DoS到成熟的RCE。虽然可以通过媒体元数据操作来分配和释放块，但在这种情况下，执行精确的堆清理并不简单，攻击者需要将该漏洞与其他漏洞链接起来，才能成功执行任意代码。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参8月18日消息，微软官方宣布，在过去12个月中（2021.7-2022.6），他们通过漏洞奖励计划支付了1370万美元（约9299万元）奖金。 作为全球知名科技巨头，微软公司目前拥有17个漏洞奖励计划，广泛涵盖服务、桌面应用程序与操作系统、机密级虚拟化解决方案等资产，甚至还专门为ElectionGuard开源软件开发工具包（SDK）设置了相应项目。 如果能发现Hyper-V中的远程代码执行、信息泄露或拒绝服务（DoS）之类的严重漏洞，参与微软漏洞奖励计划的安全研究人员最高可以拿到25万美元的高额奖金。 事实上，微软在2021年7月1日到2022年6月30日期间，发出的最大单笔奖金达到20万美元，奖励的是Hyper-V虚拟机管理程序中的一个严重漏洞。 在这12个月中，共有超过330名安全研究人员通过微软漏洞奖励计划拿到了奖金，平均每个漏洞的奖金超过12000美元（约8.5万元）。 图：参与微软漏洞奖励计划的研究人员地理分布 微软公司表示，他们正根据研究人员的反馈改进现有漏洞奖励计划。今年，该公司还打算进一步引入新的研究挑战和高影响攻击场景。 新增及更新内容将包括Azure SSRF挑战赛，Edge奖励计划纳入Android与iOS平台版本，将本地Exchange、SharePoint及Skpye for Business纳入多个漏洞奖励计划，并为Azure、M365、Dynamics 365以及Power Platform等奖励计划添加高影响攻击场景。 微软公司总结道，“将这些攻击场景引入Azure、Dynamics 365、Power Platform以及M365奖励计划，将帮助我们把研究重点集中在影响最大的云漏洞上，具体涵盖Azure Synapse Analytics、Key Vault及Azure Kubernetes服务等领域。” 转自 安全内参，原文链接：https://www.secrss.com/articles/45997 封面来源于网络，如有侵权请联系删除

通过使用微软的名字来欺骗潜在的受害者在技术支持骗子的名单上总是名列前茅。FBI最近的一份报告指出，这些骗局仍相当活跃，即使在今天也是如此。在日前的一篇报道中，Sky News称其被发送了一个带有微软品牌的欺诈性USB驱动器。它们是由来自Atheniem的网络安全顾问Martin Pitman发现的。 据悉，该驱动器被包装在一个Office 2021 Professional Plus的盒子内，这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。 假Office 2021照片 当目标将U盘插入他们的电脑之后，一条假的警告信息就会弹出，告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话，这显然是骗子使用的号码。然后，骗子要求受害者安装一个远程访问程序来接管系统。 微软发言人就这一案件向Sky News发表了以下声明：“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。” 这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305999.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软威胁情报中心（MSTIC）破坏了SEABORGIUM（又名ColdRiver，TA446）的活动，SEABORGIUM是一家与俄罗斯有关的黑客组织，他发起了针对北约国家人员和组织的持续黑客攻击活动。 SEABORGIUM自2017年以来一直很活跃，其活动涉及持续的网络钓鱼和凭证盗窃活动，导致入侵和数据盗窃。APT主要针对北约国家，但专家们还观察到针对波罗的海、北欧和东欧地区（包括乌克兰）的行动。 SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员，俄罗斯事务专家和海外俄罗斯公民。 SEABORGIUM的活动始于目标个人的侦察活动，重点是识别他们在社交网络或势力范围内的联系人。 微软发布的帖子写道：“根据观察到的一些模拟和目标，我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报（OSINT）来完善他们的侦察工作。MSTIC与LinkedIn合作，发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。” 黑客使用虚假身份与目标个人联系，并开始与他们对话，以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。 网络钓鱼邮件使用PDF附件，在某些情况下，还包括指向文件、文档托管服务的链接，或托管PDF文档的OneDrive帐户的链接。 打开PDF文件后，会显示一条消息，说明无法查看该文档，他们需要单击按钮重试。 单击该按钮，受害者将被重定向到运行网络钓鱼框架（如EvilGinx）的登录页面，该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后，受害者会被重定向到网站或文档，以避免引起怀疑。 一旦攻击者获得了对目标电子邮件帐户的访问权限，他们就会泄露情报数据（电子邮件和附件），或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。 微软证实，它已采取行动，通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs，其中包括APT在其网络钓鱼活动中使用的60多个域的列表。 可以在Microsoft的公告中找到完整的域列表，以及网络防御者可以用来防止类似攻击的安全措施。 防御措施包括禁用Microsoft 365中的电子邮件自动转发，使用IOC调查潜在的危害，要求对所有帐户进行MFA，以及使用FIDO安全密钥来提高安全性。 微软还发布了Azure Sentinel搜索查询[1, 2]，可用于检查恶意活动。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文