微软禁用 MSIX AppX 安装程序以使用户免遭 Emotet、BazarLoader 类威胁
微软今天正式宣布,它已经禁用了MSIX应用安装程序协议以防止恶意攻击。该协议允许用户直接从网络服务器上安装各种应用程序,而不需要先将其下载到本地存储。当时的想法是,这种方法将为用户节省空间,因为不需要下载整个MSIX包。 然而,这种Windows应用程序安装包后来被发现用来分发恶意的PDF文件,如Emotet和BazarLoader恶意软件。因此,该协议在去年被禁用,但今天才正式宣布。这个Windows AppX安装程序欺骗漏洞的ID被分配为CVE-2021-43890。 安全公告的贴文解释称: 我们最近被告知,MSIX的ms-appinstaller协议可以被恶意使用。具体来说,攻击者可以欺骗App Installer来安装一个用户并不打算安装的软件包。 目前,我们已经禁用了ms-appinstaller方案(协议)。这意味着App Installer将不能直接从网络服务器上安装一个应用程序。相反,用户将需要首先将应用程序下载到他们的设备上,然后用App Installer安装该软件包。这可能会增加一些软件包的下载大小。 以下是在网站上禁用该协议的方法: 如果你在你的网站上利用了ms-appinstaller协议,我们建议你更新你的应用程序的链接,删除’ms-appinstaller:?source=’字段,这样MSIX包或App Installer文件就会下载到用户的机器上再安装。 微软还表示,它正在研究如何在未来某个时候以安全的方式重新启用该协议,比如添加某些组策略。但就目前而言,上述的变通方法是防止恶意攻击的临时解决方案。 我们正在花时间进行彻底的测试,以确保能够以安全的方式重新启用该协议。我们正在研究引入一个组策略,允许IT管理员重新启用该协议并控制其在组织内的使用。 (消息及封面来源:cnBeta)
微软分享针对 Mac 的 UpdateAgent 复杂木马的细节
网络安全仍然是一个不断发展的领域,对威胁者和安全专家来说都是如此。尽管如此,最近产生的一个积极因素是,公司更愿意与合作伙伴、专家和更大的社区分享信息,共同应对威胁。这方面的一个例子是,微软与苹果合作修补macOS设备中的”Shrootless”漏洞。微软已经提供了有关一个针对Mac的复杂木马的详细信息。 该木马被称为”UpdateAgent”,早在2020年9月就出现了,是一个相对基本的信息窃取者。然而,从那时起发展到现在,它已经进化了很多,其最近的升级版本实际上已经开始对外”承揽生意”,分发二级有效载荷,如Adload广告软件。微软提醒说,UpdateAgent不断发展的持续渗透方法意味着它在未来的活动中可能会进一步发展,并分发更危险的载荷。 UpdateAgent通常会伪装成用户在其Mac上下载的合法软件。然后,它绕过几个macOS控件,在设备中持续存在。这方面的一个例子是绕过Gatekeeper,原本这一机制是为了确保只有受信任的应用程序可以在计算机硬件上运行。然后,该木马程序利用现有的用户权限来执行恶意活动,之后就会掩盖其踪迹。 微软还指出,UpdateAgent从S3和AWS的Cloudfront下载其恶意的载荷。因此,该公司已与亚马逊合作,删除了一些已知的问题URL。从UpdateAgent在2020年9月首次出现到2021年10月的最新活动,可以从下面的图中看到它的演变。 微软表示,2021年10月的UpdateAgent活动是其迄今为止最复杂的活动之一。该木马以.zip和.pkg格式打包,并通过驱动下载进行传播,但最终结果也包括对Sudoer列表的修改。微软的调查还显示,最新攻击的基础设施是在2021年9月创建的,同时还发现了其他恶意域名。这表明,UpdateAgent正在积极开发,并可能在接下来继续变得更加复杂和危险。 该公司对现有的Adload Adware载荷提供了以下细节分享: 一旦广告软件被安装,它就会使用广告注入软件和技术来拦截设备的在线通信,并通过广告软件运营商的服务器重定向用户的流量,将广告和促销活动注入到网页和搜索结果。更具体地说,Adload利用中间人(PiTM)攻击,通过安装一个网络代理来劫持搜索引擎结果,并将广告注入网页,从而将广告收入从官方网站持有人那里抽走,转给广告软件运营商。 Adload也是一种异常持久的广告软件。它能够打开一个后门,下载和安装其他广告软件载荷,此外还能收集系统信息,并将其发送到攻击者的C2服务器。考虑到UpdateAgent和Adload都有能力安装额外的有效载荷,攻击者可以利用这些载体中的任何一个或两个,在未来的活动中可能向目标系统提供更危险的威胁。 就目前而言,微软有一些针对UpdateAgent的保护建议。对于公众来说,这些建议包括限制对特权资源的访问,只从受信任的来源安装应用程序,部署最新的软件安全更新,以及使用能自动阻止恶意网站的浏览器。 微软希望通过分享所有这些信息,强调不断演变的恶意软件的威胁,以及供应商必须提供的安全解决方案的类型,以保护Windows和非Windows机器。 (消息及封面来源:cnBeta)
微软研究人员发现网络攻击者对长密码进行暴力穷举的手段失去兴趣
根据微软蜜罐服务器网络收集的数据,大多数暴力攻击者主要试图猜测短密码,很少有攻击是针对长密码或包含复杂字符的凭证的。”我分析了超过2500万次针对SSH的暴力攻击所输入的凭证。这大约是微软安全传感网络中30天的数据,”微软的安全研究员罗斯·贝文顿说。 “77%的尝试使用了1到7个字符的密码。超过10个字符的密码只出现在6%的情况下。”他在微软担任欺诈主管,他的任务是创建看起来合法的蜜罐系统,以研究攻击者的趋势。在他分析的样本数据中,只有7%的暴力攻击尝试包括一个特殊字符。此外,39%的人实际上至少有一个数字,而且没有一个暴力尝试使用包括空格的密码。 研究人员的发现表明,包含特殊字符的较长密码很可能在绝大多数暴力攻击中是安全的,只要它们没有被泄露到网上,或者已经成为攻击者暴力攻击字典的一部分。 此外,根据截至今年9月针对微软蜜罐服务器网络尝试的140多亿次暴力攻击的数据,对远程桌面协议(RDP)服务器的攻击与2020年相比增加了两倍,出现了325%的增长。网络打印服务也出现了178%的增长,还有Docker和Kubernetes系统,也出现了110%的增长。 “关于SSH和VNC的统计数字也同样糟糕–它们只是自去年以来没有那么大的变化,”贝文顿说。”默认情况下,像RDP这样的解决方案是关闭的,但如果你决定打开它们,不要把它直接暴露在互联网上。记住,攻击者会对任何强行的远程管理协议进行攻击。如果你必须让你的东西在互联网上访问,请运用各种加固手段,例如强密码,管理身份,MFA,”这位微软经理说。 (消息及封面来源:cnBeta)
微软警告 NOBELIUM 攻击技术愈加泛滥 谨防 HTML 代码夹带恶意软件
早在 5 月,微软就认定有俄罗斯背景的 NOBELIUM 黑客组织要对持续数月的 SolarWinds 网络攻击事件负责,并同企业、政府和执法机构达成了合作,以遏制此类网络攻击的负面影响。早些时候,微软更进一步地剖析了 NOBELIUM 使用的一套更加复杂的恶意软件传送方法。可知其用于造成破坏,并获得“HTML Smuggling”系统的访问权。 HTML Smuggling 技术概览(图自:Microsoft Security) 微软表示,HTML Smuggling 是一种利用合法 HTML5 和 JavaScript 功能、以高度规避安全系统检测的恶意软件传送技术。 钓鱼邮件示例 近年来,这项技术已被越来越多地用于部署网银恶意软件、远程访问木马(RAT)、以及其它有针对性的钓鱼邮件活动。 Mekotio 活动中曝光的威胁行为 其实早在今年 5 月,这项技术就已经在 NOBELIUM 发起的钓鱼邮件活动中被观察到,最近的案例包括网银木马 Mekotio、AsyncRAT / NJRAT 和 Trickbot(控制肉鸡并传播勒索软件负载和其它威胁)。 HTML Smuggling 网页代码示例 顾名思义,HTML Smuggling 允许攻击者在特制的 HTML 附件或网页中“夹带私货”。当目标用户在浏览器中打开时,这些恶意编码脚本就会在不知不觉中被解码,进而在受害者的设备上组装出有效负载。 被 JavaScript 加花的 ZIP 文件 换言之,攻击者没有直接通过网络来传递可执行文件,而是绕过了防火墙、再在暗地里重新构建恶意软件。举个例子,攻击者会在电子邮件消息中附上 HTML Smuggling(或重定向)页面链接,然后提示自动下载序列。 钓鱼页面 为帮助用户辨别愈演愈烈的 HTML Smuggling 攻击,微软在文中给出了一些演示实例,告诫银行与个人采取必要的防御措施,同时不忘推销一下自家的 Microsoft 365 安全解决方案。 在浏览器中构造的、带有密码保护下载器的 JavaScript 实例 据悉,Microsoft 使用多层方法来抵御网络威胁,通过与一系列其它终端防御措施协同合作,以阻止在攻击链的更高层执行并减轻来自更复杂攻击的后果。 Trickbot 钓鱼活动的 HTML Smuggling 攻击示例 最后,微软强烈建议广大客户养成良好的习惯,抽空了解各类恶意软件感染案例,同时将非必要的本地 / 管理员权限调到最低。 (消息及封面来源:cnBeta)
微软称俄罗斯黑客自 5 月以来至少入侵了 14 家 IT 供应链公司
微软表示,去年SolarWinds黑客事件背后由俄罗斯支持的Nobelium威胁集团仍在瞄准全球IT供应链,自2021年5月以来,有140家管理服务提供商(MSP)和云服务提供商受到攻击,至少有14家被攻破。 这次活动与Nobelium的传统做法相同,即通过攻破服务提供商来破坏一个重要的目标名单。就像以前的攻击一样,俄罗斯国家黑客使用了一个多样化和不断变化的工具包,包括一长串工具和战术,从恶意软件、密码喷剂、令牌盗窃到API滥用和鱼叉式网络钓鱼。这些新攻击的主要目标是为其客户部署和管理云服务和类似技术的经销商和技术服务提供商。 微软在发现这些攻击后通知了受影响的目标,还在威胁保护产品中增加了检测功能,使这些目标在未来能够发现入侵企图。自7月以来,超过600名微软客户成为目标。微软表示,自5月以来,它已经通知了140多个被Nobelium攻击的经销商和技术服务提供商。 微软将继续调查,但到目前为止,微软认为这些经销商和服务提供商中多达14家已经受到影响,但是总共有600多个微软客户被攻击了数千次,尽管在7月至10月期间攻击成功率很低。但是,这表明,Nobelium仍在试图发动类似于他们在攻破SolarWinds系统后发动的攻击,以获得对相关目标系统的长期访问,并建立间谍和渗透渠道。 Nobelium是俄罗斯对外情报局(SVR)的黑客部门,也被称为APT29、Cozy Bear和The Dukes。2021年4月,美国政府正式指责SVR部门协调了针对SolarWinds 广泛的网络间谍活动,导致多个美国政府机构被入侵。 (消息及封面来源:cnBeta)
微软称其抵挡了有史以来最大的 DDoS 攻击 带宽负载高达 2.4 Tbps
微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务(DDoS)攻击。这次攻击针对欧洲的一个Azure客户,比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量,这是在去年针对亚马逊网络服务的攻击。 微软表示,这次攻击持续了10多分钟,短暂的流量爆发峰值为2.4Tbps,随后下降到0.55Tbps,最后回升到1.7Tbps。DDoS攻击通常用于迫使网站或服务脱机,这要归功于网络主机无法处理的大量流量。它们通常是通过僵尸网络进行的,僵尸网络是一个使用恶意软件或恶意软件进行远程控制的机器网络,Azure能够在整个攻击过程中保持在线,这要归功于它吸收数十Tbit DDoS流量攻击的能力。 “攻击流量来自大约7万个来源,包含来自亚太地区的多个国家,如马来西亚、越南、日本等国家以及美国本土,”微软Azure网络团队的高级项目经理Amir Dahan解释说。 虽然2021年Azure上的DDoS攻击数量有所增加,但在8月最后一周的这次2.4Tbps攻击之前,最大攻击吞吐量已经下降到625Mbps。微软没有说出被攻击的欧洲Azure客户的名字,但这种攻击可以作为二次攻击的掩护,特别是在试图传播恶意软件和渗透到公司系统的过程中。 亚马逊网络服务(AWS)之前保持着最大的DDoS攻击防御的记录,也就是上面所说的2.3Tbps的尝试,超过了NetScout Arbor在2018年3月保持的1.7Tbps的前记录。 (消息及封面来源:cnBeta)
微软示警 PHaaS 模式:发现为网络犯罪团伙提供的大规模钓鱼服务
在今天发布的安全公告中,微软安全团队发现了一个大规模的活动:利用类似主机的基础设施向网络犯罪团伙提供钓鱼服务。该服务被称为 BulletProofLink、BulletProftLink 或 Anthrax,目前在地下网络犯罪论坛上进行宣传。微软称这项服务为“钓鱼即服务”(Phishing-as-a-Service,PHaaS)模式。 访问: 微软中国官方商城 – 首页 该服务是在“网络钓鱼工具包”的基础上演变而来,“网络钓鱼工具包”是模仿已知公司的登录形式的网络钓鱼页面和模板的集合。BulletProofLink 通过提供内置的托管和电子邮件发送服务,将其提升到一个全新的水平。 客户通过支付 800 美元的费用在 BulletProofLink 门户网站上注册,而 BulletProofLink 运营商则为他们处理其他一切。这些服务包括建立一个网页来托管钓鱼网站,安装钓鱼模板本身,为钓鱼网站配置域名(URL),向所需的受害者发送实际的钓鱼邮件,从攻击中收集凭证,然后在周末向“付费客户”交付被盗的登录信息。 如果犯罪团伙想改变他们的网络钓鱼模板,BulletProofLink 团伙还经营着一个单独的商店,威胁者可以在那里购买新模板用于他们的攻击,每个新模板的价格从 80 美元到 100 美元不等。 正如 The Record 今天看到的那样,BulletProofLink 商店里有大约 120 种不同的网络钓鱼模板。此外,该网站还设有教程,帮助客户使用该服务。 但微软的研究人员说,他们还发现该服务也一直在偷窃自己的客户,保留所有收集到的凭证的副本,据信该组织以后会通过在地下市场出售这些凭证来赚钱。微软将整个行动描述为技术演进(technically advanced),该组织经常使用黑客网站来托管其网络钓鱼页面。 在某些情况下,安全团队观察到 BulletProofLink 团伙破坏了被黑网站的 DNS 记录,以便在受信任的网站上生成子域来承载钓鱼网页。微软今天说:“在研究网络钓鱼攻击时,我们发现一个活动使用了相当多的新创建和独特的子域–在一次运行中超过30万个”。 (消息及封面来源:cnBeta)
9 月补丁星期二活动:微软共计修复 66 处系统漏洞和 20 处 Chromium 漏洞
在 9 月的补丁星期二活动日中,微软共计修复了 66 处系统漏洞和 20 处 Microsoft Edge 中的 Chromium 安全漏洞。受影响的产品包括。Azure、Edge(Android、Chromium 和 iOS)、Office、SharePoint Server、Windows、Windows DNS 和 Windows Subsystem for Linux。 在修复的这些漏洞中,其中 3 个被评为“critical”(关键)、1 个被评为“moderate”(中等),其余的被评为“important”(重要)。 其中一个已经公开披露的 CVE 解决了 MSHTML 中的一个关键零日漏洞(CVE-2021-40444),也被称为微软的传统 Trident 渲染引擎。该漏洞可被滥用,以实现任意代码的执行,在承载浏览器渲染引擎的微软 Office 文档中使用恶意的 ActiveX 控件。这是我们在 9 月 7 日了解到的漏洞,并被用于针对 Office 用户的攻击。利用该漏洞的代码已经在网络上和安全研究人员之间流传,所以要打好补丁。 另一项修复更新了 8 月 11 日公开披露的补丁,该补丁解决了上个月的 Print Spooler RCE(CVE-2021-36958)。IT资产管理公司 Ivanti 的产品管理副总裁 Chris Goettl 在发给 The Register 的一份声明中解释说:“这次更新已经删除了以前定义的缓解措施,因为它不再适用,并解决了研究人员在原始修复之外发现的其他问题。该漏洞已被公开披露,而且可以获得功能性的利用代码,因此这使本月的Windows操作系统更新变得更加紧迫”。 Goettl 说之前披露的第三个漏洞(CVE-2021-36968)解决了 Windows DNS 中的一个权限提升漏洞。这个 CVE 适用于传统的 Windows 操作系统。 还有另外两个关键漏洞修复:一个是 Windows WLAN 自动配置服务远程代码执行漏洞(CVE-2021-36965)和一个开放管理基础设施远程代码执行漏洞(CVE-2021-38647)。Zero-Day Initiative 的 Dustin Childs 在一份公告中说,前者允许邻近网络的攻击者,如咖啡店的公共 Wi-Fi,接管一个有漏洞的目标系统。 后者甚至更严重。这是一个严重性(CVSS 9.8)的错误,在Linux和Unix风味的操作系统的开放管理基础设施(OMI)。它可以被利用来获得对网络上有漏洞的机器的管理控制,不需要认证或其他检查。 Childs警告说:“这个漏洞不需要用户互动或权限,所以攻击者只需向受影响的系统发送一个特制的信息,就可以在受影响的系统上运行他们的代码。OMI用户应该迅速测试和部署这个”。 (消息及封面来源:cnBeta)
CISA 命令美国政府机构紧急修补 PrintNightmare 漏洞
本月早些时候,安全研究人员意外地发布了一个零日漏洞和概念验证代码,证明了Windows 10 Print Spool中的一个漏洞可用于远程代码执行攻击。微软迅速地发布了一个带外修复程序,现在网络安全和基础设施安全局(CISA)已经命令政府机构紧急对联邦计算机应用这个补丁。 CISA说:”已经验证了各种概念证明的有效性,并担心如果不加以缓解,利用这一漏洞可能导致机构网络的全面系统受损。这一判断是基于目前威胁者在外部对这一漏洞的利用,进一步利用这一漏洞的可能性,受影响的软件在联邦企业中的普遍性,以及机构信息系统被破坏的高可能性。” 紧急指令21-04主要内容,并附有最后期限: 在2021年7月14日(星期三)美国东部时间晚上11:59之前,停止并禁用所有微软活动目录(AD)域控制器(DC)上的打印线轴服务。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,将2021年7月的累积更新应用于所有Windows服务器和工作站。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,对所有运行微软Windows操作系统的主机(行动1下的域控制器除外)完成指令中详述的选项1、2或3。 验证上述选项1、2和3的注册表和/或组策略设置是否正确部署。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,确保技术和/或管理控制措施到位,以确保新配置的或以前断开连接的服务器和工作站得到更新,并在连接到机构网络之前拥有上述定义的设置。 在2021年7月21日(星期三)美国东部时间下午12:00之前,使用所提供的模板提交一份完成报告。 CISA还建议机构在所有不用于打印的系统上禁用Windows 10 Print Spool,普通Windows 10用户则可以通过安装刚刚发布的2021年7月累积更新来保护自己。 (消息及封面来源:cnBeta)
微软支持为被 Trickbot 感染的用户提供路由器上门更换服务
为打压某个国际黑客组织,微软正积极在拉美地区展开行动,比如主动为受 Trick博通 感染的巴西用户更换路由器。Daily Beast 在一篇报道中披露了详情,可知该组织位于俄罗斯、白罗斯、乌克兰和苏里南等地,且很早前就已被美国网络司令部和微软等信息安全公司给盯上。 Trickbot 会将受感染的计算机组成一个大型僵尸网络,以开展勒索软件攻击和其它非法活动。 微软指出,Trickbot 会劫持受害者的路由器和物联网设备。这些设备不仅很容易被感染,且受害者也难以察觉。 对于普通人来说,要从路由器中清除恶意软件,显然并不是一件轻松的事情,因而上门更换就成了一项最佳福利。 据说最近,微软正在与执法机构展开联合打击行动,并已取得一些进展。比如上月,司法部指控了一名据说协助 Trickbot 恶意软件开发的女性。 此外早在 2020 年,微软就宣称斩断了该组织 94% 的服务器基础设施,以阻止针对美国大选的任何攻击。 然而微软旗下致力于打击数字犯罪的部门总经理 Amy Hogan-Burney 在接受 The Daily Beast 采访时称,打击 Trickbot 仍是一场旷日持久的巨大挑战。 消息称,Trickbot 会对医院、学校和政府机构发起攻击,窃取登录凭据和锁定计算机系统以勒索赎金。 为此,与当地互联网服务提供商展开深入合作,为受感染的基层用户提供免费的路由器更换,即可发挥更进一步的效用。 (消息及封面来源:cnBeta)