在 Chrome 发布紧急更新之后，微软今天也发布了修复补丁，修复了被追踪为 CVE-2022-2294 的高危零日漏洞。微软也没有详细说明修复的细节，只是在 Edge 的更新日志中指出：“此更新包含对 CVE-2022-2294 的修复，Chromium 团队已报告该漏洞被黑客利用”。 目前安装该补丁之后，Edge 稳定版的最新版本是 103.0.1264.48。如果浏览器没有为您自动更新，请单击浏览器窗口右上角的三点菜单，然后导航到帮助和反馈 > 关于 Microsoft Edge 以触发更新。 今天修复的零日漏洞（追踪为CVE-2022-2294）存在于 WebRTC（网络实时通信）组件中，导致基于堆的缓冲区溢出，由 Avast 威胁情报团队的 Jan Vojtesek 于 7 月 1 日星期五报告。成功利用堆溢出的影响范围包括程序崩溃和任意代码执行，如果在攻击过程中实现了代码执行，则可以绕过安全解决方案。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1289671.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站7月2日消息，微软最近在来自各个行业的数百家组织网络中发现了蠕虫病毒——Raspberry Robin（树莓知更鸟）。 Raspberry Robin主要针对Windows系统，通过受感染的 USB 设备传播。Red Canary 情报分析师于 2021 年 9 月首次发现该恶意软件，而此次微软的发现与Red Canary几乎一致，该团队还在多个客户的网络上检测到了这种蠕虫病毒，其中一些客户来自技术和制造业。 尽管微软观察到恶意软件连接到 Tor 网络地址，但攻击者尚未利用他们所获得的受害者网络访问权限对其发动实质性攻击，由于Raspberry Robin可以使用合法的 Windows 工具绕过受感染系统上的用户帐户控制 (UAC)，要进行攻击可谓轻而易举。 对于具体的攻击进程，Raspberry Robin 通过包含恶意 .LNK 文件的受感染 USB设备传播至其他Windows系统设备，用户一旦连接了USB设备，该蠕虫病毒就会使用 cmd.exe 生成一个 msiexec 进程来启动存储在受感染设备上的恶意文件。在感染新的设备之后，Raspberry Robin会与命令和控制服务器 (C2) 通信，并利用几个合法的 Windows 实用程序执行恶意负载，如fodhelper、msiexec和odbcconf，其中msiexec被用于下载并执行合法的安装程序包。 介于攻击者可以在受害者的网络中下载和部署额外的恶意软件并随时提升其的权限，微软已经将 Raspberry Robin的相关活动标记为高风险行为。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/338069.html 封面来源于网络，如有侵权请联系删除

微软在周三分享的一篇网络战争早期研究报告中自出，自 2 月俄乌冲突爆发以来，俄罗斯已在 42 个国家或地区开展了数十次网络间谍行动。微软总裁 Brad Smith 在报告中指出，这些渗透遍布六大洲实体，尤其针对北约盟国和支持乌克兰的团体。此前这家总部位于雷德蒙德的科技巨头，还披露了俄罗斯在 4 月的网络行动细节。 微软在报告中提到：在乌克兰以外的 42 个地区观察到的涉俄活动中，有高达 63% 针对北约成员国。 其中美国一直是俄罗斯的头号目标，此外与乌克兰接壤的波罗的海国家（比如提供大量军事与人道主义援助的波兰）也有观察到大量的网络活动。 微软继续强调，最近申请加入被北约的芬兰和瑞典等国家、以及提出反对意见的土耳其，都有观察到网络攻击目标的增长。 这些网络攻击活动中有近一半瞄准了政府目标，另有 12% 的活动集中在向乌克兰提供外交政策建议、或提供人道主义援助的非政府组织。 至于针对 IT 企业、能源机构、以及国防实体发起的攻击，通常会被较为严格的防御系统给挡住。 微软给出的数据是，网络攻击的成功率仅在 29% 左右、但 1/4 的事件导致了数据泄露，因此建议加大网络防御工事的全方位投资。 此外报告提到了俄罗斯是如何开展网络传播行动的，比如将俄乌冲突定义为“特殊军事行动”。结果自开展以来，俄在乌网络传播率大涨 216%、在美也有增加 82% 。 不过对于此事，俄罗斯驻华盛顿大使馆并没有立即回应外媒的置评请求。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1284095.htm 封面来源于网络，如有侵权请联系删除

安全研究人员警告称，威胁行为者可能会劫持Office 365账户，对存储在SharePoint和OneDrive服务中的文件进行加密，以获得赎金，很多企业正在使用SharePoint和OneDrive服务进行云协作、文档管理和存储，如果数据没有备份，那针对这些文件的勒索软件攻击可能会产生严重后果，导致所有者和工作组无法访问重要数据。 近期，网络安全公司Proofpoint的研究人员在一份报告中指出，勒索攻击的成功主因在于滥用“自动保存”功能，该功能会在用户进行编辑时创建旧文件版本的云备份。威胁行为者要加密SharePoint和OneDrive文件的前提条件是破坏Office 365 帐户，这很容易通过网络钓鱼或恶意OAuth应用程序完成。劫持帐户后，攻击者可以使用Microsoft API和PowerShell脚本自动对大型文档列表执行恶意操作。要更快地完成文件锁定并使恢复变得更困难，威胁行为者会通过减少版本编号限制并加密所有超过该限制的文件。此任务不需要管理权限，可以从任何被劫持的帐户完成。研究人员举例说，对手可以将文件版本数减少到“1”，并对数据进行两次加密。由于文件版本限制设置为“1”，当攻击者对文件进行两次加密或编辑时，原始文档将无法通过OneDrive获得，也无法恢复。 另一种方法是使用自动脚本编辑文件501次，这超过了OneDrive存储文件版本的最大500次限制。虽然这种方法更张扬，可能会触发一些警报，但它仍然是一种有效的方法。文档加密完成后，攻击者就可以向受害者索取赎金，以换取解锁文件。在加密之前先窃取原始文件，从而在泄露数据的威胁下给受害者更大的压力，这也是可行的，而且可能被证明是有效的，特别是在有备份的情况下。 虽然Proofpoint提醒微软版本编号设置可能会被滥用，但微软坚称这种配置能力是其预期的功能。微软说，如发生类似上述攻击场景的意外数据丢失情况下，微软的support agent可以在事故发生14天后帮助恢复数据。但根据Proofpoint的报告，他们尝试使用support agent恢复文件，但失败了。 对于可能成为这些云攻击目标的企业，最佳安全实践包括： 使用多因素身份验证 保持定期备份 寻找恶意OAuth应用程序并撤销令牌，以及在事件响应列表中添加“立即增加可恢复版本”。   转自 Freebuf，原文链接：https://www.freebuf.com/news/336489.html 封面来源于网络，如有侵权请联系删除

在英特尔和微软今天发布的公告中，表示多款英特尔酷睿处理器存在一系列 CPU 漏洞。这些安全漏洞与 CPU 的内存映射 I/O（MMIO）有关，因此被统称为“MMIO陈旧数据漏洞”（MMIO Stale Data Vulnerabilities）。威胁者在成功利用一个有漏洞的系统后，可以读取被攻击系统上的特权信息。 在其安全公告 ADV220002 中，微软描述了潜在的攻击场景： 成功利用这些漏洞的攻击者可能会跨越信任边界读取特权数据。在共享资源环境中（如存在于一些云服务配置中），这些漏洞可能允许一个虚拟机不正当地访问另一个虚拟机的信息。在独立系统的非浏览场景中，攻击者需要事先访问系统，或者能够在目标系统上运行特制的应用程序来利用这些漏洞。 这些漏洞被称为： ● CVE-2022-21123 – 共享缓冲区数据读取(SBDR) ● CVE-2022-21125 – 共享缓冲区数据采样(SBDS) ● CVE-2022-21127 – 特殊寄存器缓冲区数据采样更新(SRBDS更新) ● CVE-2022-21166 – 设备寄存器部分写入(DRPW) MMIO 使用处理器的物理内存地址空间来访问像内存组件一样响应的 I/O 设备。英特尔在其安全公告 INTEL-SA-00615 中，更详细地描述了如何利用 CPU 非核心缓冲区数据来利用该漏洞。 处理器 MMIO 陈旧数据漏洞是一类内存映射的 I/O（MMIO）漏洞，可以暴露数据。当一个处理器内核读取或写入MMIO时，交易通常是通过不可缓存或写入组合的内存类型完成的，并通过非内核进行路由，非内核是CPU中的一段逻辑，由物理处理器内核共享，并提供一些通用服务。恶意行为者可能利用非核心缓冲区和映射寄存器来泄露同一物理核心内或跨核心的不同硬件线程的信息。 [……]这些漏洞涉及的操作导致陈旧的数据被直接读入架构、软件可见的状态或从缓冲区或寄存器采样。在一些攻击场景中，陈旧的数据可能已经存在于微架构的缓冲器中。在其他攻击场景中，恶意行为者或混乱的副代码可能从微架构位置（如填充缓冲区）传播数据。 据微软称，以下Windows版本受到影响。 ● Windows 11 ● Windows 10 ● Windows 8.1 ● Windows Server 2022 ● Windows Server 2019 ● Windows Server 2016 受影响的 CPU 列表以及它们各自的缓解措施如下图   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1281495.htm 封面来源于网络，如有侵权请联系删除

多名安全专家近期指责微软，称其在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度。在本周二发布的博文中就阐述了微软在这方面的失败，内容称微软在修复 Azure 中的一个关键漏洞用了 5 个月的时间，而且先后发布了 3 个补丁。 Orca Security 在 1 月初首次向微软通报了该漏洞，该漏洞位于云服务的 Synapse Analytics 组件中，并且还影响了 Azure 数据工厂。它使任何拥有 Azure 帐户的人都能够访问其他客户的资源。 https://static.cnbetacdn.com/article/2022/0616/0b1026799301e68.gif Orca Security 研究员 Tzah Pahima 表示，攻击者可以实现 ● 在充当 Synapse 工作区的同时在其他客户帐户中获得授权。根据配置，我们可以访问客户帐户中的更多资源。 ● 泄露存储在 Synapse 工作区中的客户凭据。 ● 与其他客户的集成运行时进行通信。可以利用它在任何客户的集成运行时上运行远程代码 (RCE)。 ● 控制管理所有共享集成运行时的 Azure 批处理池。可以在每个实例上运行代码。 Pahima 说，尽管该漏洞很紧迫，但微软的响应者却迟迟没有意识到它的严重性。微软在前两个补丁中搞砸了，直到周二，微软才发布了完全修复该漏洞的更新。 Pahima 提供的时间表显示了他的公司花费了多少时间和工作来引导微软完成整治过程： ● 1 月 4 日 – Orca 安全研究团队向 Microsoft 安全响应中心 (MSRC) 披露了该漏洞，以及我们能够提取的密钥和证书。 ● 2 月 19 日和 3 月 4 日——MSRC 要求提供更多细节以帮助其调查。每次，我们都会在第二天回复。 ● 3 月下旬 – MSRC 部署了初始补丁。 ● 3 月 30 日 – Orca 能够绕过补丁。突触仍然脆弱。 ● 3 月 31 日 – Azure 奖励我们 60,000 美元用于我们的发现。 ● 4 月 4 日（披露后 90 天）– Orca Security 通知 Microsoft 密钥和证书仍然有效。 Orca 仍然可以访问 Synapse 管理服务器。 ● 4 月 7 日 – Orca 与 MSRC 会面，以阐明该漏洞的影响以及全面修复该漏洞所需的步骤。 ● 4 月 10 日 – MSRC 修补绕过，最终撤销 Synapse 管理服务器证书。 Orca 能够再次绕过补丁。突触仍然脆弱。 ● 4 月 15 日 – MSRC 部署第三个补丁，修复 RCE 和报告的攻击向量。 ● 5 月 9 日 – Orca Security 和 MSRC 都发布了博客，概述了漏洞、缓解措施和针对客户的建议。 ● 5 月底 – Microsoft 部署了更全面的租户隔离，包括用于共享 Azure 集成运行时的临时实例和范围令牌。 他表示：“任何使用 Azure Synapse 服务的人都可以利用这两个漏洞。在评估情况后，微软决定默默修补其中一个问题，淡化风险。只是在被告知我们将要上市之后，他们的故事才发生了变化……在最初的漏洞通知后 89 天……他们私下承认了安全问题的严重性。迄今为止，尚未通知 Microsoft 客户”。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1281335.htm 封面来源于网络，如有侵权请联系删除

微软周二宣布，它将收购一家名为Miburo的纽约网络威胁分析和研究公司以加强其网络安全服务。以未透露的收购价格达成的交易，微软将迎来该公司专门从事外国信息行动的检测和应对的人才。根据Miburo的LinkedIn简介，它还涵盖了社交媒体调查职能和反击恶性影响的行动。 “随着对Miburo的收购，我们将继续履行我们的使命，采取行动，并与公共和私营部门的其他人合作，找到长期的解决方案，阻止外国对手威胁公共和私营部门的客户，事实上也威胁到我们民主的基础，”公司客户安全和信任副总裁汤姆-伯特在宣布即将进行的收购的博客文章中写道。 据伯特说，一旦收购完成，Miburo将成为其客户安全与信任组织的一部分，在那里，其现有的分析师将与微软威胁情报中心、威胁背景分析团队、数据科学家和其他专家携手合作。 微软预计，Miburo专业人员的到来将扩大其威胁检测和分析能力，从而对新的网络攻击作出更周到、更有效的反应。此外，伯特说，这将帮助该公司更好地了解”外国行为者利用信息操作与其他网络攻击相结合的方式来实现其目标”。 微软认为Miburo是”识别外国信息行动的领先专家”。这家咨询和分析公司可以通过16种语言检测并确定恶意和极端主义影响活动的属性。此外，Miburo创始人兼首席执行官克林特·沃茨曾在美国陆军和联邦调查局的联合反恐工作队任职，这使该团队在处理其在微软的新职责方面拥有更多资格。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1281155.htm 封面来源于网络，如有侵权请联系删除

微软终于发布了对”Follina”的修复，这是Windows中被黑客积极利用的零日漏洞。作为微软每月发布的安全补丁的一部分，即所谓的”补丁星期二”已经发布了对这个高危漏洞的修复，这一漏洞被追踪为CVE-2022-30190。但正如网络安全公司Sophos所指出的，该修复程序并不在此次发布的补丁列表中–尽管它已经确认Follina现在已经被缓解。 “微软强烈建议客户安装这些更新，以充分保护自己免受该漏洞的影响，”微软在6月14日对其原始公告的更新中说。 Follina漏洞已被攻击者利用，在打开或预览恶意的Office文档时，通过微软诊断工具（MSDT）执行恶意的PowerShell命令，即使宏被禁用。该漏洞影响到所有仍在接受安全更新的Windows版本，包括Windows 11，并使威胁者能够查看或删除数据，安装程序，并在被攻击的系统上创建新账户。 网络安全研究人员在4月首次观察到黑客利用该漏洞攻击俄罗斯和白俄罗斯用户，企业安全公司Proofpoint上个月表示，Follina现在也被黑客组织滥用于正在进行的网络钓鱼活动中，使受害者感染Qbot银行木马，以及针对美国和欧洲政府机构的网络钓鱼攻击中。 Follina零日病毒最初于4月12日被标记给微软。然而，一位名叫Crazyman的安全研究人员在Twitter上说，微软最初将该漏洞标记为非”安全相关问题”，他被认为是首次报告该漏洞。 网络安全公司Tenable的高级研究工程师Claire Tills表示，”鉴于微软最初对该漏洞的否定以及该漏洞在公开披露后的几周内被广泛利用，在补丁星期二之前，人们对微软是否会发布补丁进行了大量猜测。”他还指出这正成为一种”令人担忧的趋势”。 “Tenable在微软的Azure Synapse Analytics中发现并披露了两个漏洞，其中一个已经打了补丁，另一个没有，”她补充说。”这两个漏洞都没有分配CVE编号，也没有记录在微软6月份的安全更新指南中”。 除了解决Follina漏洞之外，微软还修复了三个”关键的”远程代码执行（RCE）缺陷。然而，这些都还没有被积极利用。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1281163.htm 封面来源于网络，如有侵权请联系删除

随着微软在5月30日揭露修补Windows漏洞CVE-2022-30190后，网安从业者Proofpoint已发现多起企图开采该漏洞的网钓攻击行动，目标对象为欧洲各国及美国政府组织。 微软是在5月30日揭露此一位于Microsoft Support Diagnostic Tool（MSDT）的Windows漏洞CVE-2022-30190，该漏洞允许黑客取得用来呼叫MSDT的程式权限，以执行任意程式。当时微软已收到针对该漏洞的攻击报告，同时网安从业者也公布了锁定该漏洞的不同攻击行动。 目前微软仅建议使用者关闭MSDT的URL协定作为暂时性补救措施，尚未给出修补程式。 Proofpoint说明，此一攻击行动看似由特定政府支持，锁定欧洲及美国政府组织进行网钓攻击，在电子邮件中诓称要帮员工加薪，并附上一个跨平台的RTF档案格式，档案中则藏匿了恶意的Powershell脚本程式。 最终的恶意Powershell脚本程式会检查系统的虚拟化状态，并自浏览器、邮件客户端及文件服务中窃取资讯，还会在机器上进行侦察，再将所有盗来的资讯压缩并传送至黑客服器。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/HO2NK1tCNv8Ybya-h4R0IA 封面来源于网络，如有侵权请联系删除

微软已获得法院命令，以扣押这家Windows巨头所使用的 41 个域名，该组织称这是一个伊朗网络犯罪组织，该组织针对美国、中东和印度的组织开展鱼叉式网络钓鱼活动。 微软数字犯罪部门表示，该团伙被称为Bohrium，对那些在技术、交通、政府和教育部门工作的人特别感兴趣：其成员会假装是招聘人员，以引诱标记在他们的 PC 上运行恶意软件。 “Bohrium 演员创建虚假的社交媒体资料，经常冒充招聘人员，”微软数字犯罪部门总经理 Amy Hogan-Burney 说。“一旦从受害者那里获得个人信息，Bohrium就会发送带有链接的恶意电子邮件，这些链接最终会用恶意软件感染目标的计算机。” 5月底，弗吉尼亚州东部的一家联邦地方法院向微软下达了紧急临时限制令；这使得该公司能够通过要求美国域名注册机构（例如 Verisign 和 Donuts）将域名转移到微软的控制之下来拆除Bohrium的基础设施。由于Microsoft命名的microsoftsync[dot]org等域已代表 Redmond转移到MarkMonitor，因此似乎扣押已经完成。 根据上周晚些时候公布的法庭文件 [ PDF ] Hogan-Burney ，微软声称不法分子利用网络域进行计算机欺诈、窃取帐户用户的凭据并侵犯微软的商标： Important work by the @Microsoft Digital Crimes Unit to share today. Our team has taken legal action to disrupt a spear-phishing operation linked to Bohrium, a threat actor from Iran. The court filings can be found here: https://t.co/jwZaRardcF — Amy Hogan-Burney (@CyberAmyHB) June 2, 2022 微软说指出Bohrium不仅在其网络钓鱼活动中滥用这家 IT 巨头的商标来欺骗人们交出他们的凭据，而且还试图破坏微软客户运行的计算机系统。工作人员还使用这些域来设置命令和控制服务器，以管理安装在这些计算机上的恶意软件。 此外，根据法庭文件，Bohrium 还破坏了“受害者计算机和微软服务器上的微软应用程序，从而利用它们来监控用户的活动并从他们那里窃取信息”。 微软牵头的行动取消了 ZLoader 僵尸网络域 微软跟踪锶域以阻止对乌克兰的攻击 微软将下一个 Exchange Server 版本推迟到 2025 年 拆除犯罪团伙基础设施的法院命令遵循了几个类似的法律策略，以破坏用于攻击微软客户的网络。最近，在4月，美国巨人宣布了长达数月的努力，以控制ZLoader犯罪僵尸网络团伙一直用来传播远程控制恶意软件和编排受感染机器的65个域。 这家科技巨头的数字犯罪部门从佐治亚州的一名美国联邦法官那里获得了一项法院命令，以接管这些域名，然后这些域名被定向到微软控制的污水坑，因此恶意软件的策划者无法利用它们与他们的僵尸网络进行通信。征用了Windows计算机。 同月，雷德蒙德夺取了由与俄罗斯有关的威胁组织 Strontium（又名 APT28 和 FancyBear）运营的 7 个互联网域，该组织正在使用该基础设施针对乌克兰机构以及美国和欧盟的智囊团，显然是为了支持俄罗斯入侵其邻国. 在4月份的扣押之前，微软曾15次使用此流程接管由Strontium控制的100多个域，该域被认为由俄罗斯外国军事情报机构 GRU 运营。     转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/Vo7MzoyTwr_sKwsBQ6D4MA 封面来源于网络，如有侵权请联系删除