5月27日，微软365 Defender 研究团队披露了在 mce Systems 提供的 Android Apps 移动服务框架中的严重安全漏洞，多个运营商的默认预装应用受影响，其下载量已达数百万次。 研究人员发现的漏洞被追踪为CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601， CVSS评分在 7.0分-8.9分之间， 能够让用户遭受命令注入和权限提升攻击，受影响的运营商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。 研究人员发现该框架有一个“BROWSABLE”服务活动，可以远程调用以利用多个漏洞，攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制。 这些带有漏洞的应用程序嵌入在设备的系统映像中，表明它们是这些运营商提供的预装软件。如同现在大多数 Android 设备附带的许多预装或默认应用程序一样，如果没有获得设备的 root 访问权限，一些受影响的应用程序就无法完全卸载或禁用。 在微软公开披露这些漏洞之前，mce Systems 已修复问题并向受影响的提供商提供框架更新，但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本，如果用户安装了包名为 com.mce.mceiotraceagent的应用，其设备也可能会受到试图滥用这些漏洞的攻击，建议用户及时清除这些应用，并更新至最新的系统版本。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334690.html 封面来源于网络，如有侵权请联系删除

根据Microsoft 365 Defender 研究团队5月23日发表的研究文章，安全人员最近观察到使用多种混淆技术来避免检测的网页掠夺（Web skimming）攻击。这些攻击大多被用来针对电商等平台以窃取用户支付凭证。 网页掠夺攻击 网页掠夺通常针对 Magento、PrestaShop 和 WordPress 等底层平台，这些平台因其易用性和第三方插件的可移植性而成为在线电商网站的热门选择。但这些平台和插件带有漏洞正被攻击者利用。 掠夺攻击示意图 攻击者通过在 PHP 中编码来混淆略读脚本（skimming script），然后将其嵌入到图像文件中，通过这种方式，代码在加载网站的索引页面时执行。安全人员还观察到注入恶意 JavaScript 的受感染 Web 应用程序伪装成 Google Analytics 和 Meta Pixel脚本。一些浏览脚本还包括反调试机制。 在某个场景下，当用户在网站结帐页面继续输入他们的信用卡或借记卡详细信息以支付所下订单时，攻击代码将被激活。在该页面的表格上键入的任何内容都会被窃取并发送给攻击者，然后攻击者使用这些详细信息进行在线购买或将数据出售给他人。 隐蔽的攻击手法 微软的分析师报告称，目前三种十分隐蔽的攻击手法的使用正有所增加，分别是：在图像中注入脚本、字符串连接混淆和脚本欺骗。 图像注入脚本：内含base64 编码 JavaScript 的恶意 PHP 脚本，以图像文件的形式伪装成网站图标上传到目标服务器，能在识别出结账页面的情况下运行。 字符串连接混淆：获取托管在攻击者控制的域上的浏览脚本，以加载虚假的结帐表单，该域是 base64 编码并由多个字符串连接而成。 脚本欺骗：将浏览器伪装成 Google Analytics 或 Meta Pixel ，将 base64 编码的字符串注入到欺骗性的 Google 跟踪代码管理器代码中，诱使管理员跳过检查，认为这是网站标准代码的一部分。 防范网页掠夺 微软提醒，鉴于攻击者在攻击活动中采用越来越多的规避策略，企业组织应确保其电商平台、CMS 和已安装的插件是最新版本，并且只下载和使用来自受信任来源的第三方插件和服务。此外，还必须定期彻底检查其网络资产是否存在任何受损或可疑内容。 对于用户而言，应当开启防病毒程序，在结账过程中，注意付款细节，对弹出的可疑窗口提高警惕。   转自 Freebuf，原文链接：https://www.freebuf.com/news/334211.html 封面来源于网络，如有侵权请联系删除

微软于近期解决了一个积极利用的Windows LSA零日漏洞，未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA（Local Security Authority的缩写）是一个受保护的Windows子系统，它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925，是由Bertelsmann Printing Group的Raphael John报告的，据调查，该漏洞在野已被利用，似乎是PetitPotam NTLM中继攻击的新载体。 安全研究员GILLES Lionel于2021年7月发现该变体，且微软一直在阻止PetitPotam变体，不过官网的一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此，微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施，以获取有关保护其系统免受CVE-2022-26925攻击的信息。 通过强制认证提升权限 通过使用这种新的攻击向量，威胁行为者可以拦截可用于提升权限的合法身份验证请求，这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞，他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。 微软在其发布的公告中解释：未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器，但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响，因为它们会破坏某些供应商的备份软件。 CVE-2022-26925影响所有Windows版本，包括客户端和服务器平台，从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday，微软已经和其他两个漏洞一起修补了该零日漏洞，一个是Windows Hyper-V 拒绝服务漏洞 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC 驱动程序漏洞 (CVE-2022-29972)。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/332788.html 封面来源于网络，如有侵权请联系删除

近日名为 Nimbuspwn 的漏洞组合被曝光，可以让本地攻击者在 Linux 系统上提升权限，部署从后门到勒索软件等恶意软件。微软的安全研究人员在今天的一份报告中披露了这些问题，并指出它们可以被串联起来，在一个脆弱的系统上获得 root 权限。 Nimbuspwn 存在于 networkd-dispatcher 组件，该组件用于在 Linux 设备上发送连接状态变化，目前已经以 CVE-2022-29799 和 CVE-2022-29800 进行追踪。 发现这些漏洞是从“监听系统总线上的消息”开始的，这促使研究人员审查 networkd-dispatcher 的代码流。微软研究员Jonathan Bar Or在报告中解释说，Nimbuspwn 的安全缺陷是指目录穿越、符号链接竞赛和检查时间-使用时间（TOCTOU）竞赛条件问题。 一个引起兴趣的观察结果是，networkd-dispatcher守护进程在启动时以系统的根权限运行。研究人员注意到，该守护进程使用了一种名为”_run_hooks_for_state”的方法，根据检测到的网络状态发现并运行脚本。 它使用名为 subprocess.Popen 的进程运行上述位置的每个脚本，同时提供自定义环境变量。微软的报告解释说，”_run_hooks_for_state”有多个安全问题。 ● 目录遍历（CVE-2022-29799）：流程中没有一个函数对OperationalState或AdministrativeState进行消毒。这些状态被用来建立脚本路径，因此一个状态可能包含目录遍历模式（例如”…/…/”），以逃离”/etc/networkd-dispatcher”基本目录。 ● 符号链接竞赛：脚本发现和subprocess.Popen都遵循符号链接。 ● 检查时间-使用时间（TOCTOU）竞赛条件（CVE-2022-29800）：脚本被发现和它们被运行之间有一定时间。攻击者可以滥用这个漏洞，将networkd-dispatcher认为由root拥有的脚本替换成不属于root的脚本。     转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1263423.htm 封面来源于网络，如有侵权请联系删除

微软宣布旗下的 BUG 悬赏项目新增覆盖 3 个产品，分别为 Exchange, SharePoint 和 Skype for Business。和 BUG 悬赏项目中的其他产品一样，针对这 3 个产品的 BUG 悬赏金额从 500 美元起步，根据 BUG 的危险等级最高上限为 3 万美元。 微软解释道：“Microsoft 365 和 Microsoft Office Servers 是我们工作和生活中的生产力解决方案，旨在通过创新的 Office 应用程序、智能云服务和世界级的安全来帮助您实现更多目标。Microsoft Applications 和 On-Premises Servers Bounty Program 邀请全球研究人员识别特定微软应用程序和企业内部服务器中的漏洞，并与我们的团队分享这些漏洞。符合条件的提交者有资格获得 500 美元至 30,000 美元的赏金奖励”。 当然，微软为远程代码执行缺陷提供最大的奖励。如果它们被评为关键缺陷，并与高质量的报告一起被送到微软，它们可能价值 20,000 美元。另一方面，如果你遇到的是特权提升，也被评为关键性缺陷，当高质量的报告也被发送时，赏金就会降到 8000 美元。然而，微软表示，它也可以提供更高的奖励，这取决于你的发现。 微软表示：“赏金奖励范围从 500 美元到 30,000 美元。根据漏洞的严重性和影响以及提交的质量，微软有可能提供更高的奖励，由微软全权决定。如果研究人员提交的材料不符合赏金奖励的条件，但如果他们提交的材料修复了漏洞，他们仍有资格获得公开承认，并在我们的研究人员表彰计划中获得积分”。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255865.htm 封面来源于网络，如有侵权请联系删除

微软透露，它已经控制了由一个与俄罗斯有联系的黑客实体（称为Strontium）控制的七个互联网域名。据该公司称，这些域名被用于对乌克兰机构的网络攻击，如新闻媒体组织以及美国和欧盟涉及外交政策的政府机构和智囊。 在微软于4月6日获得法院命令后，这些域名被查封。微软长期以来一直在对付Strontium，并且已经有了一个框架可以迅速获得法院命令对该组织的黑客活动采取行动。在控制了这些域名之后，微软已经将这些域名重新定向到它所运行的一个停靠站，以保证用户的安全并通知攻击的受害者。 微软客户安全与信任部企业副总裁汤姆-伯特说： “这次协助执法是2016年开始的一项持续的长期投资的一部分，目的是采取法律和技术行动，查封被Strontium使用的基础设施。我们已经建立了一个法律程序，使我们能够迅速获得法院对这项工作的裁决。在本周之前，我们已经通过这一程序采取了15次行动，获得了100多个Strontium控制的域的控制权。” 虽然微软能够解决Strontium的最新攻击是件好事，但该公司承认，这只是应对乌克兰网络战的一小部分。尽管如此，微软继续与该国的组织合作，以解决自俄罗斯入侵开始以来不断升级的网络攻击。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255821.htm 封面来源于网络，如有侵权请联系删除

近日，据Reddit上的帖子和Cyber Kendra上的一份报告显示，LAPSUS$ (Lapsus) 组织入侵了微软的DevOps帐户，该组织此前入侵了NVIDIA和三星。 下面的截图由Lapsus发布，但很快被删除，由Cyber Kendra保存了下来。该组织声称可以访问微软的一些DevOps资源。 据报道，该帖子在发布几分钟后删除，并补了一条消息“暂时删除，稍后再发布”。 从图中可以看到部分有关Bing和Cortana项目源代码的DevOps资源。 虽然对NVIDIA和三星电子的攻击让LAPSUS$有了知名度，但它其实早已臭名昭著。 去年12月，LAPSUS$攻击了巴西卫生部的网站，窃取了50TB的数据，导致数百万人无法获得疫苗数据。 元旦期间LAPSUS$攻击了葡萄牙最大的传媒集团Impresa，集团网站、SIC TV频道和Expresso网站被迫下线，电信网络运营商沃达丰此前也遭受了该黑客组织的攻击。 随着全球信息化的普及，黑客攻击的数量正在急剧增加，个人PC、企业官网、公共服务数据库等都已成为黑客攻击的目标，日益泛滥的黑客入侵已成为全球信息安全的重要挑战。   转自快科技 ，原文链接：https://news.mydrivers.com/1/821/821589.htm 封面来源于网络，如有侵权请联系删除

微软已经证实了用户在最近一次Windows更新后遇到的另一个问题，尽管这次似乎只有Windows服务器受到影响。微软表示，一些应用程序和设备在安装了它在”补丁星期二”发布的一月份更新后，可能不再能够创建Netlogon安全通道连接。 该公司解释说，Windows客户端不受影响，但另一方面，运行Windows Server 2008 SP2和更新版本的设备却容易出现这个问题。 “在你的域控制器上安装KB5009555或2022年1月11日及以后发布的任何更新后，依赖只读域控制器（RODC）或合成RODC机器账户的方案可能无法建立Netlogon安全通道。RODC账户必须有一个链接的、合规的KRBTGT账户才能成功建立安全通道。”该公司解释说：”受影响的应用程序或网络设备，如Riverbed SteelHead WAN Optimizers，可能会出现加入域的问题或加入域后的限制。” 目前，全面修复的工作正在进行中，但显然，何时能向用户发布还没有确定的时间表。 截止发稿，调查还在继续，因为需要开发商或制造商的更新来处理整个事情。”受影响的应用程序和网络设备将需要其开发者或制造商的更新来解决这个问题。微软和Riverbed目前正在进行调查，当有更多信息时，将提供更新，”它解释说。 唯一的解决办法应该是完全删除上述补丁，但另一方面，重要的是要知道，通过删除更新，你也失去了它在你的计算机上部署的所有安全改进。换句话说，你不应该这样做，因为你的Windows服务器机器可能最终暴露在外部威胁之下。   （消息及封面来源：cnBeta）

微软今天宣布，它将默认阻止5个Office应用程序中VBA宏脚本的执行，这是近年来影响最大的变化之一。从2022年4月初开始，Access、Excel、PowerPoint、Visio和Word用户将不能在他们从互联网上下载的不受信任的文件中启用宏脚本。 安全研究人员多年来一直要求作出这一改变，这将为恶意软件团伙设置一个强大的障碍，这些恶意软件团伙依靠欺骗用户启用宏脚本作为在其系统上安装恶意软件的一种方式。 在这些攻击中，用户通常通过电子邮件收到一份文件，或被指示从一个互联网网站下载。当他们打开该文件时，攻击者通常会留下一条信息，指示用户启用宏脚本的执行。 虽然具有一些技术和网络安全知识的用户可能能够认识到这是一个感染恶意软件的诱饵，但许多日常的Office用户仍然没有意识到这种技术，并最终按照所提供的指示操作，有效地使自己感染了恶意软件。 处理这个问题一直是微软的一根刺，因为VBA宏脚本在公司内部经常被用来在打开某些文件时实现某些操作和任务的自动化，例如从动态来源导入数据和更新文档内部的内容。 自21世纪初以来，微软试图通过在文档顶部以工具栏的形式显示一个温和的安全警告来解决这个问题，但这个警告也包含允许用户执行宏脚本的控件。 在这一变化将向终端用户推出后，这一警告将改变为显示一个红色的警示条，通知用户文档中包含宏，但由于安全原因不能启用。 微软今天在其技术社区门户网站的一篇博文中宣布了其计划。该博文还包含了五个Office应用程序在决定是否允许或阻止文档内宏脚本的执行时将遵循的逻辑描述。 微软表示，默认阻止VBA宏的决定只影响Windows上的Access、Excel、PowerPoint、Visio和Word。含有VBA宏的文档，如果是在一个组织的信任网络内创建和获得的，仍将被允许执行。 “这一变化将在2203版中开始推出，从2022年4月初的当前通道（预览版）开始，”微软今天说。”以后，该变化将在其他更新渠道中提供，如当前渠道、每月企业渠道和半年度企业渠道。” 这一变化也将向所有微软365客户推出，该操作系统制造商表示，它还计划将这一变化回传到其他Office版本，如Office LTSC、Office 2021、Office 2019、Office 2016和Office 2013。 一旦完成，此举将阻断大量恶意软件的传播，但也会影响许多出于金融和政治动机的间谍活动；不过，这些行动很可能会继续使用其他技术。 此前，在恶意软件团伙的类似滥用之后，微软也阻止了Excel 4.0（XLM）宏脚本的执行。   （消息及封面来源：cnBeta）