Bleeping Computer 网站披露，攻击者在一系列网络钓鱼攻击中滥用 Snapchat 和美国运通网站上的开放重定向，以期窃取受害者 Microsoft 365 凭证。 据悉，开放式重定向作为 Web 应用程序的弱点，允许威胁者使用受信任网站的域名作为临时登陆页面，以简化网络钓鱼攻击。 在以往的网络攻击案例中，重定向一般被用来将目标重定向到恶意网站，使其感染恶意软件或诱使其交出敏感信息（如登录凭证、财务信息、个人信息等）。 发现此次网络攻击的电子邮件安全公司 Inky 表示，被“操纵”的链接中第一个域名实际上是原网站的域名，受信任的域名（如美国运通，Snapchat）在浏览者被转到恶意网站之前，充当了一个临时登陆页面。 冒充 Microsoft (Inky) 的网络钓鱼电子邮件 恶意重定向锁定了成千上万的潜在受害者 据 Inky 研究人员称，在两个半月内，从谷歌和微软 365 劫持的 6812 封钓鱼邮件中使用了 Snapchat 的开放重定向，这些电子邮件冒充 Microsoft、DocuSign 和 FedEx，并将收件人重定向到旨在获取 Microsoft 凭据的登录页面。 值得一提的是，一年前(2021 年 8 月 4 日)，研究人员已经通过开放平台 Bug Bounty 将 Snapchat 漏洞报告给了其所属公司，但目前开放的重定向还没有修补。美国运通的开放式重定向在 7 月下旬被利用了几天后，很快就打上了补丁，新的尝试攻击目前会链接到美国运通的一个错误页面上。 美国运通打开重定向的错误页面 (Inky) 在漏洞问题解决之前，美国运通的开放重定向被用于 2029 封使用微软 Office 365 诱饵的钓鱼邮件中，这些邮件从刚注册的域名发出，旨在将潜在的受害者引向微软凭证采集网站。 另外，Inky 表示，攻击者在利用 Snapchat 和美国运通的漏洞过程中，将个人身份信息 (PII) 插入到 URL 中，以便可以为个别受害者即时定制恶意登录页面。以上两种情况，插入都是通过将其转换为 Base 64 编码来伪装的，使其看起来像一堆随机字符。 为防范此类网络攻击，Inky 建议用户在收到电子邮件后，仔细检查“url=”、“redirect=”、“xternal-link”或“proxy”字符串或电子邮件中嵌入的 URL 中，是否多次出现“HTTP”可能显示指示的重定向。 另外，强烈建议网站所有者实施外部重定向免责声明。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341287.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。 Tutanota是一款端到端加密的电子邮件应用程序和免费增值安全电子邮件服务，截至2017年3月，Tutanota称用户已经超过200万。 “大西洋两岸的政客们正在讨论制定更强有力的反垄断法来监管大型科技公司——正如微软团队阻止Tutanota用户访问那样，这些法律是非常有必要的。大型科技公司有市场力量，可以通过一些非常简单的方法来伤害小型竞争对手，比如拒绝小公司的客户使用自己的服务。这家德国电子邮件服务提供商分享了一条评论，“目前，微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。这种严重的反竞争做法迫使我们的客户注册第二个电子邮件地址（可能来自Microsoft），以创建Teams帐户。” 微软不会将该公司识别为电子邮件服务，而是将其视为公司地址。Tutanota用户第一次注册Teams帐户时，其域被识别为公司，因此，其他使用该流行电子邮件服务的用户都无法注册其账户，并被要求联系其管理员。 Tutanota联合创始人Matthias Pfau表示：“我们多次试图与微软解决这个问题，但不幸的是，我们的请求被忽视了。” “微软只需更改Tutanota是电子邮件服务的设置，这样每个人都可以注册个人帐户，但他们（微软）表示这样的更改是不可能的。” 让我们看看微软是否会解决这个问题，允许200万用户使用其MS Teams服务。 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期，来自ThreatLabz的安全研究人员发现了一批大规模的网络钓鱼活动，该活动使用中间人攻击 (AiTM) 技术以及多种规避策略。据该公司本周二发布的一份公告，上个月微软遭遇的一次网络钓鱼攻击中似乎也使用了这种中间人攻击技术。ThreatLabz还透露，从Zscaler 云收集的情报分析，6月的大规模网络攻击中使用高级网络钓鱼工具包的情况有所增加，而使用这项新攻击技术的钓鱼活动也在增加。 据分析，这些网络钓鱼活动和微软发现的活动如出一辙，它们不但使用AiTM绕过多因素身份验证 (MFA)，还在攻击的各个阶段使用了多种规避技术，旨在绕过典型的电子邮件安全和网络安全解决方案。ThreatLabz认为该活动是专门为使用微软电子邮件服务的企业而设计的。 “商业电子邮件泄露 (BEC) 对企业来说仍是一个威胁，此次活动进一步强调了防范此类攻击的必要性。” ThreatLabz表示，这些网络钓鱼攻击第一步就是向受害者发送带有恶意链接的电子邮件，威胁参与者几乎每天都在注册新的网络钓鱼域名，并且大多数目标企业是金融科技、贷款、金融、保险、会计、能源和联邦信用合作社行业等行业。而且多数目标企业位于美国、英国、新西兰和澳大利亚。 虽然多因素身份认证在大部分的时间可以保障安全，但也不能完全信任其带来的安全性。毕竟通过使用中间人攻击(AiTM)和巧妙的规避技术，威胁参与者还是可以绕过传统和高级安全解决方案。作为额外的预防措施，ThreatLabz 表示用户不应打开附件或单击来自不受信任或未知来源的电子邮件中的链接。作为最佳实践，用户应在输入任何凭据之前验证浏览器地址栏中的 URL。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341011.html 封面来源于网络，如有侵权请联系删除

据The Register网站消息，微软已在本周推出两项新服务，让企业安全运营中心 (SOC) 更广泛地访问其每天收集的大量威胁情报。 这两项服务分别是Defender Threat Intelligence和Defender External Attack Surface Management (EASM)，都使用了微软在 2021 年以 5 亿美元收购网络安全公司 RiskIQ时继承的技术。微软致力于通过自己的产品和Azure云安全能力来保护企业系统，这很大程度上是处理大量的信号和威胁情报来实现。Defender EASM服务让企业以局外人的眼光看待自己的攻击面，扫描互联网及其连接，以创建其环境图，并找到企业可能不知道但可被攻击利用的面向互联网的资源。 微软负责安全合规、身份和管理的公司副总裁Vasu Jakkal在宣布新服务的博文中表示，得益于微软自身强有力平台搜集的大量情报及独特洞察力，企业不仅能从中获得关于威胁者活动、行为模式和目标的可靠预测，还可以映射他们的数字环境和基础设施，以攻击者的眼光看待他们的组织。这种由外而内的方式提供了更深入的洞察力，可以帮助企业预测恶意活动并保护未受管理的资源。 据悉，微软每天都会收集大量网络威胁信息，其安全团队跟踪了 35 个勒索软件系列以及来自 250 多个国家和地区的网络犯罪分子，该公司的 Azure 公共云每天处理和分析超过 43 万亿个安全信号。所有这些信息都会同步至供应商及其安全服务平台，包括其 Defender 以及 Azure 中的 Sentinel 安全信息和事件管理 (SIEM) 服务，并提供实时威胁检测。 随着去年的收购，RiskIQ的收集和安全情报技术也并入微软，通过检测威胁和可疑活动以及补救漏洞来保护企业的攻击面。它与微软的云计算合作，也可用于其他公有云，包括亚马逊网络服务，并被企业内部服务所使用。 Jakkal认为，有了组织的完整视图，企业可以将这些未知的资源、端点和资产置于其安全信息和事件管理（SIEM）以及扩展检测和响应（XDR）工具的安全管理范围内来降低风险。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340995.html 封面来源于网络，如有侵权请联系删除

7月28日消息，微软安全和威胁情报团队称发现一家奥地利公司销售间谍软件DSIRF，该软件是基于未知的Windows漏洞开发。当前的受害者包括奥地利、英国和巴拿马等国的律师事务所、银行和战略咨询公司。 DSIRF声称帮助跨国公司进行风险分析和收集商业情报。微软威胁情报中心（MSTIC）分析发现，间谍软件DSIRF利用Windows的零日特权升级漏洞和Adobe Reader远程代码漏洞执行攻击。微软表示，DSIRF利用的漏洞目前在更新补丁中已经修补。在内部，微软以代号KNOTWEED对DSIRF进行追踪，并表示该公司还与SubZero恶意软件的开发和销售有关。 MSTIC发现DSIRF与恶意软件之间有多种联系，包括恶意软件使用的命令和控制基础设施直接链接到DSIRF、一个与DSIRF相关的GitHub账户被用于一次攻击、发给DSIRF的代码签名证书被用于签署一个漏洞。 攻击中出现的CVE-2022-22047漏洞能从沙盒中逃脱。微软解释，该漏洞链开始时，从沙盒中的Adobe Reader渲染器进程写入一个恶意DLL到磁盘。然后，CVE-2022-22047漏洞被用来瞄准一个系统进程，通过提供一个应用程序清单，其中有一个未记录的属性，指定恶意DLL的路径。当系统进程下一次生成时，恶意激活上下文中的属性被使用，恶意DLL从给定的路径加载，从而执行系统级代码。 调查人员已经确定了DSIRF控制下的一系列IP地址，该基础设施主要由Digital Ocean和Choopa托管，至少从2020年2月开始就积极为恶意软件提供服务，并持续到现在。 微软建议保持最新的补丁和恶意软件检测，并注意破坏后的行动，如凭证转储和启用明文凭证。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340560.html 封面来源于网络，如有侵权请联系删除

微软的威胁情报中心（MSTIC）声称它抓住了一家奥地利公司销售间谍软件的证据，该恶意软件实现了针对律师事务所、银行和咨询公司的未获授权的监视任务。微软为此发表了一篇详细的博客，声称一家名为DSIRF的奥地利公司开发并销售名为SubZero的间谍软件，微软方面将其称为Knotweed。 MSTIC已经发现DSIRF与这些攻击中使用的漏洞和恶意软件之间有多种联系。其中包括恶意软件使用的命令和控制基础设施直接与DSIRF相连，一个与DSIRF有关的GitHub账户被用于一次攻击，一个发给DSIRF的代码签名证书被用于签署一个漏洞，以及其他开源新闻报道将SubZero归于DSIRF。 攻击是通过一个通过电子邮件发送特别设计后的PDF文件传播的，结合一个0day Windows漏洞，该攻击获得了目标机器上的高级别权限。SubZero同时本身是一个rootkit，可以对被攻击的系统进行完全控制。 DSIRF可以利用以前未知的Windows 0day特权升级漏洞和Adobe Reader远程代码执行攻击来破坏系统，微软将该安全漏洞标记为CVE ID CVE-2022-22047，并已确认该漏洞已被修补。 在商业基础上开发和部署恶意软件的公司被称为私营部门攻击者（PSOA），微软也将其称为”网络雇佣兵”。DSIRF很可能是将其间谍软件作为访问即服务和黑客雇佣来提供。微软表示，该公司没有参与任何目标或行动的运行。 DSIRF网站的一个存档副本指出，该公司为”技术、零售、能源和金融领域的跨国公司”提供服务。该公司拥有”一套收集和分析信息的高度精密技术”。 该网站还提到该公司可以”通过提供对个人和实体的深入了解，进行强化的尽职调查和风险分析过程”。它有”高度复杂的红蓝队演练来挑战目标公司最关键的资产”。 微软通过其提交给”打击外国商业间谍软件扩散对美国国家安全的威胁”听证会的书面证词文件，基本上重复了上述信息。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1297691.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站7月26日消息，微软 365 Defender 研究团队在当天公布的一项研究调查中表示，攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展，对未打补丁的 Exchange 服务器部署后门。 与Web Shell相比，利用IIS 扩展能让后门更加隐蔽，通常很难检测到其安装的确切位置，并且使用与合法模块相同的结构，为攻击者提供了近乎完美的持久性机制。 根据微软 365 Defender 研究团队的说法，在大多数情况下检测到的实际后门逻辑很少，如果不更广泛地了解合法 IIS 扩展的工作原理，就不能将其视为恶意进程，这也使得确定感染源变得更加困难。 对受感染服务器的持续访问 在利用托管应用程序中各种未修补的安全漏洞攻击服务器后，攻击者通常会在 Web Shell中 先部署一个有效负载，并在随后部署 IIS 模块以提供对被黑服务器更隐蔽和持久的访问。微软之前曾注意到攻击者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定义 IIS 后门。随后，恶意 IIS 模块允许攻击者从系统内存中获取凭证，从受害者的网络和受感染设备收集信息，并提供更多有效负载。 在今年1月至5月期间针对 Microsoft Exchange 服务器的活动中，微软注意到攻击者在文件夹 C:\inetpub\wwwroot\bin\ 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门，以此来访问受害者的电子邮件邮箱、远程运行命令并窃取凭证和机密数据。 作为 IIS 处理程序安装的 IIS 后门示例 此外，卡巴斯基也曾注意到了类似的情况，去年 12 月，一个名为Owowa的恶意 IIS Web 服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示，一旦进入受害者的系统，攻击者就可以访问公司电子邮件，通过安装其他类型的恶意软件，秘密管理受感染的服务器来实施更进一步的恶意访问，并将这些服务器用作恶意基础设施。 为防御使用恶意 IIS 模块的攻击，微软建议用户保持 Exchange 服务器处于最新状态，在保持反恶意软件等防护程序开启的同时，检查敏感角色和组，限制对 IIS 虚拟目录的访问，确定告警的优先级并检查配置文件和 bin 文件夹。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340245.html 封面来源于网络，如有侵权请联系删除

微软公司宣布，Windows Autopatch现已全面可用。该项企业服务可以帮助Windows与Microsoft 365软件自动保持最新版本。 Windows Autopatch于今年4月首次公布，当时微软预告将于7月开始向拥有Windows 10/11 Enterprise E3或更高版本许可的微软客户免费提供（公开预览版则于6月初推出）。 这项最新服务能够自动管理Windows 10和Windows 11的质量与功能更新、驱动程序、固件及Microsoft 365企业应用程序更新的及时部署。 对于已注册的设备，Windows Autopatch相当于把客户的更新内容编排任务移交给微软，这样客户IT团队就不必自行规划整个更新流程（包括更新排序与发布）。 微软高级产品营销经理Lior Bela表示，“我们很高兴宣布，这项服务现已全面交付至拥有Windows Enterprise E3及E5许可证的客户。” “微软将继续在每月第二个星期二发布更新，而Autopatch将有助于简化更新操作，为IT专业人员创造新的机会。” 微软还向管理员们公布了在Windows Autopatch中注册设备的具体操作指南： 在Microsoft Endpoint Manager管理中心的租户管理（Tenant Administration）分项中，找到Windows Autopatch条目。 选择租户注册（Tenant enrollment）。 选中复选框以接受条款和要求，而后选择“Agree”。 选择“Enroll”。 在租户设置完成后，Windows Autopatch会自动将各设备分为四组，包括test ring、first ring、fast ring、broad ring（为便于理解，下文翻译做了简化）。 “测试设备”中包含最低数量的设备，而“首批设备”则约占企业环境中全部端点的1%，“尝鲜设备”占比约为9%，而“主要设备”则涵盖剩余90%的设备。 整个更新流程以测试设备开始逐步部署，并将在设备性能监控与更新前指标比较等验证后，进一步转移至更大的设备集合内。 Windows Autopatch还包含内置的暂停与回滚功能，这些功能将阻止更新被安装至更大范围的设备，或根据情况实现自动回滚，借此解决更新带来的问题。 Bela在周一的说明中提到，“只要将设备注册至Autopatch，该服务就会完成大部分更新工作。” “此外，通过Microsoft Endpoint Manager中的Autopatch分项，您还可以微调不同组成员资格、访问服务健康仪表板、生成报告和提交支持请求。” 转自 安全内参，原文链接：https://www.secrss.com/articles/44631 封面来源于网络，如有侵权请联系删除

微软表示，从2021年9月开始，已经有超过10,000个组织受到网络钓鱼攻击，攻击者会利用获得的受害者邮箱访问权进行后续的商业电子邮件破坏（BEC）攻击。攻击者使用登陆页面欺骗Office在线认证页面，从而绕过多因素认证（MFA），实现劫持Office 365认证的目的。 在这些钓鱼攻击中，潜在的受害者会收到一封使用HTML附件的钓鱼邮件，当目标点击时会被重定向到登陆页面，而HTML附件确保目标通过HTML重定向器发送。在窃取了目标的凭证和他们的会话Cookie后，这些攻击者会登录受害者的电子邮件账户，并使用受害者的访问权限进行针对其他组织的商业电子邮件泄露（BRC）活动。 Microsoft 365 Defender 研究团队和微软威胁情报中心（MSTIC）针对这一系列的钓鱼活动称：“该网络钓鱼活动使用中间人（AiTM）钓鱼网站窃取密码，劫持用户的登录会话，并跳过认证过程，即使用户已启用多因素认证（MFA）也难以防护。然后攻击者会利用窃取的凭证和会话cookies访问受影响用户的邮箱，并对其他目标进行后续的商业电子邮件破坏（BEC）活动。” 在这次大规模的网络钓鱼活动可以在几个开源网络钓鱼工具包的帮助下实现自动化，包括广泛使用的Evilginx2、Modlishka和Muraena。 该活动中使用的钓鱼网站作为反向代理，托管在网络服务器上，目的是通过两个独立的传输层安全（TLS）会话将目标的认证请求代理给他们试图登录的合法网站。 利用这种战术，攻击者的钓鱼页面充当中间人，拦截认证过程，然后从被劫持的HTTP请求中提取包括密码和更重要的会话Cookies等敏感信息。在攻击者得到目标的会话Cookie后，他们将其注入自己的网络浏览器，这使得他们可以规避MFA，实现认证过程的跳过。然后在针对其他组织的商业电子邮件泄露（BRC）活动中使用他们窃取的访问权限。 为了防御此类攻击，微软仍然建议用户使用 MFA并支持基于证书的认证和Fast ID Online (FIDO) v2.0。微软还建议用户监测可疑的登录尝试和邮箱活动，以及采取有条件的访问策略，以阻止攻击者试图使用来自不合规设备或不可信任的IP地址的被盗会话Cookies。 在微软的相关报告中指出虽然AiTM网络钓鱼试图规避MFA，但重要的是要强调MFA的实施仍然是身份安全的一个重要支柱，MFA在阻止各种威胁方面仍然非常有效，其有效性是AiTM网络钓鱼首先出现的原因。 转自 freebuf，原文链接：https://www.freebuf.com/news/339014.html 封面来源于网络，如有侵权请联系删除