HackerNews 编译，转载请注明出处： 本周早些时候，微软针对一个ASP.NET Core 漏洞发布了补丁。该漏洞被标记为ASP.NET Core 安全漏洞中 “史上最高” 的严重级别。 这个 HTTP 请求走私漏洞（CVE-2025-55315）存在于 Kestrel ASP.NET Core Web 服务器中。已通过身份验证的攻击者可利用该漏洞走私另一个 HTTP 请求，进而劫持其他用户的凭据，或绕过前端安全控制。 微软在周二的安全公告中表示：“成功利用此漏洞的攻击者，可查看其他用户凭据等敏感信息（影响机密性）、修改目标服务器上的文件内容（影响完整性），还可能导致服务器崩溃（影响可用性）。” 微软建议的修复措施 为确保ASP.NET Core 应用程序免受潜在攻击，微软建议开发人员和用户采取以下措施： 若运行的是.NET 8 或更高版本，需从 Microsoft Update 安装.NET 更新，之后重启应用程序或计算机。 若运行的是.NET 2.3，需将 Microsoft.AspNet.Server.Kestrel.Core 的包引用更新至 2.3.6 版本，之后重新编译并部署应用程序。 若运行的是独立式 / 单文件应用程序，需安装.NET 更新，重新编译并部署应用程序。 为修复该漏洞，微软已发布多款安全更新，涵盖 Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0、ASP.NET Core 9.0，以及适用于ASP.NET Core 2.x 应用的 Microsoft.AspNetCore.Server.Kestrel.Core 包。 漏洞影响与风险说明 微软.NET 安全技术项目经理巴里・多兰斯（Barry Dorrans）解释称，CVE-2025-55315 漏洞的攻击影响取决于目标ASP.NET应用程序的具体情况。成功利用该漏洞可能让攻击者实现以下操作： 以其他用户身份登录（实现权限提升）； 发起内部请求（用于服务器端请求伪造攻击）； 绕过跨站请求伪造（CSRF）检查； 实施注入攻击。 多兰斯表示：“但我们无法确定具体会发生什么，因为这取决于应用程序的编写方式。因此，我们在评分时会考虑最糟糕的情况 —— 即可能导致安全功能绕过、改变攻击范围的情况。” 他补充道：“这种极端情况可能发生吗？可能性不大，除非你的应用程序代码存在异常，且跳过了本应在每个请求中执行的大量检查。但无论如何，建议你立即进行更新。” 在本月的 “补丁星期二”（Patch Tuesday）中，微软共发布 172 个漏洞的安全更新，其中包括 8 个 “严重”（Critical）级别漏洞，以及 6 个零日漏洞（其中 3 个已被用于实际攻击）。 本周，微软还发布了累积更新 KB5066791。该更新包含 Windows 10 的最终安全补丁，因为该操作系统已正式进入支持生命周期尾声。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发现黑客利用 Chakra JavaScript 引擎中的零日漏洞获取目标设备访问权限后，决定限制 Edge 浏览器中 “Internet Explorer（IE）模式” 的访问权限。 这家科技巨头未披露过多技术细节，但表示攻击者将 “社会工程学手段” 与 “Chakra 引擎漏洞利用” 相结合，实现了远程代码执行（Remote Code Execution，RCE）。 微软 Edge 安全团队负责人加雷斯・埃文斯表示：“Edge 安全团队近期收到情报显示，威胁攻击者正滥用 Edge 浏览器中的 IE 模式，非法访问毫无防备的用户设备。” 尽管 Internet Explorer 已于 2022 年 6 月 15 日终止支持，但微软 Edge 浏览器仍保留了 “IE 模式”—— 这一模式用于兼容部分仍在使用的老旧技术（如 ActiveX 控件、Flash 插件），此类技术常见于少量企业应用程序及政府门户网站。 今年 8 月，Edge 安全团队发现，攻击者会引导目标用户访问 “伪装成官方网站的虚假站点”，并通过页面中的交互元素，诱骗用户以 IE 模式加载该页面。 在利用 Chakra 引擎的零日漏洞后，攻击者会进一步利用第二个漏洞提升权限、突破浏览器沙箱限制，最终完全控制受害者设备。 埃文斯未提供被利用漏洞的标识信息，并明确表示 Chakra 引擎中的该零日漏洞尚未修复。 为降低风险，微软移除了 Edge 浏览器中 “便捷激活 IE 模式” 的方式，包括：专用工具栏按钮、右键上下文菜单选项、顶部 三点菜单中的入口。 现在，用户若需启用 IE 模式，必须手动导航至 “设置（Settings）> 默认浏览器（Default Browser）> 允许（Allow）”，并手动指定需要以 IE 模式加载的网页地址。 此次权限限制的核心目标，是让 “激活 IE 模式” 成为用户的主动、有意识操作；此外，通过 “仅允许列表内网站使用 IE 模式” 的机制，大幅增加攻击者通过该途径成功入侵的难度。 需要注意的是，这些限制不适用于商业用户—— 企业用户仍可通过 “企业策略配置” 正常使用 IE 模式。 不过微软仍提醒所有用户：应尽快从 Internet Explorer 的老旧网页技术迁移至现代产品。现代产品不仅安全性更高、稳定性更强，还具备更优的性能表现。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 奥地利数据保护机构于周三作出裁定，认定微软通过其教育软件非法追踪学生 —— 具体违规行为包括未向学生提供数据访问权限，以及在未获得同意的情况下使用 Cookie（小型数据存储文件）。 奥地利数据保护局（Datenschutzbehörde，简称 DSB）的这一裁决，源于 2024 年奥地利隐私倡导组织 “noyb”（全称 “none of your business”，意为 “与你无关”，专注于数据隐私维权）提起的投诉。该组织指控这家科技巨头在处理儿童数据时，违反了欧盟《通用数据保护条例》（General Data Privacy Regulation，简称 GDPR）。 本案的投诉人是一名未成年人的父亲，其孩子所在的学校正使用微软教育软件。他表示，自己从未同意微软使用 Cookie，也无法获取关于孩子数据被如何使用的相关信息。 微软 365 教育版（Microsoft 365 Education）是学校区域（指学区）常用的工具，用于技术管理、支持协作及在云端存储数据。该套件包含 Word、Excel、Outlook、PowerPoint 等 Office 办公应用，同时涵盖安全工具与 Teams 等协作平台。 noyb 组织的数据保护律师菲利克斯・米科拉施（Felix Mikolasch）于周五（同注，未明确具体日期）在一份事先准备好的声明中表示：“该裁决凸显了微软 365 教育版在透明度上的缺失。学校几乎无法向学生、家长及教师说明他们的数据正被如何处理。” 微软发言人在一份事先准备好的声明中回应称，公司将对该裁决进行审查，并强调：“微软 365 教育版符合所有必需的数据保护标准，教育领域的机构可继续合规使用该产品，完全符合 GDPR 要求。” 目前，奥地利数据保护机构已责令微软采取两项整改措施：一是向本案投诉人提供其孩子的数据访问权限；二是开始更清晰地说明其收集的数据将被用于何种用途。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软正提请关注一场新的钓鱼攻击活动，该活动主要针对美国境内机构，且疑似利用大型语言模型（LLM）生成代码，对攻击载荷进行混淆处理，以绕过安全防护机制。 微软威胁情报团队在上周发布的分析报告中指出：“该攻击活动疑似借助大型语言模型（LLM），将恶意行为隐藏在 SVG 文件中，并利用商业术语和合成结构掩盖其恶意意图。” 这场于 2025 年 8 月 28 日被检测到的攻击活动表明，威胁行为者正越来越多地将人工智能（AI）工具纳入其攻击流程，目的通常包括制作更具欺骗性的钓鱼诱饵、自动完成恶意软件混淆，以及生成模仿合法内容的代码。 据微软（这家 Windows 操作系统开发商）记录的攻击链显示，威胁行为者利用已被入侵的企业邮箱账户发送钓鱼邮件，以窃取受害者凭证。这些邮件伪装成 “文件共享通知”，诱骗受害者打开看似 PDF 文档的文件 —— 但实际上，该文件是可缩放矢量图形（Scalable Vector Graphics，简称 SVG）文件。 此类邮件的一大特点是攻击者采用 “自发送” 策略：发件人与收件人地址一致，而真正的攻击目标则隐藏在密送（BCC）字段中，以此绕过基础检测规则。 微软表示：“SVG 文件（可缩放矢量图形）对攻击者极具吸引力，原因在于其基于文本且支持脚本编写，可直接在文件内嵌入 JavaScript 及其他动态内容。这使得攻击者能够交付看似无害的交互式钓鱼载荷，无论对用户还是多数安全工具而言，都难以识别其恶意本质。” 微软进一步补充，SVG 文件格式还支持 “隐藏元素”“编码属性”“延迟脚本执行” 等特性，这些功能使其成为攻击者规避静态分析与沙箱检测的理想选择。 SVG 文件一旦被打开，会将用户重定向至一个要求完成 “验证码（CAPTCHA）安全验证” 的页面。受害者完成验证后，通常会被引导至伪造的登录页面，其凭证随之被窃取。微软称，由于该威胁已被其系统识别并中和，目前尚不清楚后续具体攻击步骤。 此次攻击的独特之处在于其非常规的混淆手段：利用商业相关术语隐藏 SVG 文件中的钓鱼内容 —— 这一特征表明，相关代码可能由 LLM 生成。 微软解释道：“首先，SVG 代码的开头被构造成看似合法的‘企业分析仪表盘’样式。这种设计旨在误导任何随意检查文件的人，让他们误以为该 SVG 的唯一用途是可视化展示业务数据。但实际上，这只是一个伪装。” 其次，攻击载荷的核心功能（包括将用户重定向至初始钓鱼落地页、触发浏览器指纹识别、启动会话跟踪）也被一串冗长的商业相关术语（如 “收入”“运营”“风险”“季度”“增长”“份额” 等）所掩盖。 微软表示，其已将相关代码在 Security Copilot（微软安全副驾驶）中进行分析，结果显示该程序 “并非人类通常会从零编写的代码 —— 因其复杂度高、冗余度大，且缺乏实际应用价值”。微软得出这一结论的依据包括以下几点： 函数与变量的命名过于描述性且冗余 代码结构高度模块化但过度设计 注释内容通用且冗长 利用商业术语实现混淆的方法具有公式化特征 SVG 文件中包含 CDATA 段与 XML 声明，疑似为模仿文档示例而添加 微软指出：“尽管此次攻击活动影响范围有限且已被有效拦截，但各类威胁行为者正越来越多地采用类似技术。” 与此同时，Forcepoint（网络安全公司）也披露了一起多阶段攻击事件：攻击者通过含.XLAM 附件的钓鱼邮件执行 shellcode（壳代码），最终通过二级载荷部署 XWorm 远程访问木马（RAT）；同时，攻击者会显示空白或损坏的 Office 文件作为伪装。其中，二级载荷的作用是作为 “通道”，在内存中加载.DLL 文件。 Forcepoint 表示：“在内存中运行的二级.DLL 文件采用了高度混淆的打包与加密技术。该二级.DLL 文件通过‘反射式 DLL 注入’技术，在内存中再次加载另一个.DLL 文件，而后者最终负责执行恶意软件。” “后续的最终步骤是在其自身主可执行文件中进行‘进程注入’，以维持持久化控制，并将数据窃取至其命令与控制（C2）服务器。经核查，这些接收窃取数据的 C2 服务器与 XWorm 家族恶意软件相关。” 此外，Cofense（邮件安全公司）称，近几周的钓鱼攻击还利用 “美国社会保障局”“版权侵权” 等相关诱饵，分别分发 ScreenConnect ConnectWise（远程控制工具，常被用于后续攻击）及 Lone None Stealer、PureLogs Stealer 等信息窃取恶意软件。 针对 “版权侵权” 主题的钓鱼攻击，Cofense 表示：“攻击者通常伪装成多家律师事务所，声称要求受害者移除其网站或社交媒体页面上的侵权内容。该攻击活动的显著特点在于其创新手段：利用 Telegram 机器人资料页交付初始载荷、使用混淆处理的编译型 Python 脚本载荷，且通过多版攻击样本可看出其复杂度正不断升级。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软威胁情报研究人员发现了一种新的 XCSSET macOS 恶意软件变种，已在有限范围的攻击中被使用。 研究人员指出，Trend Micro 最早在 2020 年发现了 XCSSET，当时它通过 Xcode 项目传播，并利用了两个零日漏洞，从目标系统中窃取敏感信息并发动勒索软件攻击。 新版本的 XCSSET 能够窃取 Firefox 数据并劫持剪贴板。它通过加密和混淆技术来规避检测，并能运行隐藏的 AppleScript。该恶意软件还支持通过 LaunchDaemon 条目实现额外的持久化机制。 报告写道：“这一变种包含一个用于监控剪贴板的子模块，并会引用一个下载的配置文件，该文件包含与各种数字钱包相关的地址正则表达式模式。如果检测到匹配，XCSSET 就能将剪贴板内容替换为攻击者预定义的钱包地址。” 更新后的阶段还会下载并运行多个新模块，使得该恶意软件相较于旧版本功能更为强大。 报告继续指出：“这一新变种增加了一个信息窃取模块，用于外传 Firefox 存储的数据。最初会调用 runMe() 函数，从 C2 服务器下载一个 Mach-O FAT 二进制文件，该文件负责所有信息窃取操作。该下载的二进制文件似乎是 GitHub 项目 HackBrowserData 的修改版，能够解密并导出浏览器存储的数据。密码、浏览记录、信用卡信息和 Cookies 是它能提取的关键信息，几乎覆盖所有主流浏览器。” 新的 XCSSET 变种实现了四阶段感染链。前三个阶段与先前版本一致。微软详细介绍了第四阶段，包括 boot() 函数及其相关调用，用于下载和运行子模块。 新的 XCSSET 变种包含多个针对性子模块： vexyeqj（信息窃取器）：下载并运行已编译的 AppleScript（bnk），解密 C2 配置（AES），检查并外传剪贴板数据，并可将内容替换为攻击者的钱包地址。 bnk（载荷）：仅运行模式的 AppleScript，用于收集序列号/用户信息，验证/过滤剪贴板内容，加密并将数据发送至 C2。 neq_cdyd_ilvcmwx（文件窃取器）：从 C2 获取并运行额外的 AppleScript 以外传文件。 xmyyeqjx（LaunchDaemon 持久化）：创建 ~/.root，禁用 macOS 自动/快速更新，构建伪造的“系统设置”应用，写入 com.google.* LaunchDaemon plist，设置 root 权限并加载。 jey（混淆/持久化）：基于 shell 的载荷解密与执行，混淆能力增强。 iewmilh_cdyd（Firefox 窃取器）：下载一个 Mach-O 二进制文件（修改后的 HackBrowserData），导出 Firefox 的密码、Cookies、信用卡数据，并上传压缩结果。 这些模块普遍使用仅运行模式的 AppleScript、AES 加密的 C2 配置、加密货币欺诈式的剪贴板劫持、临时文件清理，以及分块外传以减少本地留痕。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 三家主流网络安全解决方案提供商已决定不参与 MITRE（米特雷公司）2025 年度的终端检测与响应（EDR）解决方案年度测试。 微软于 6 月宣布将不参与 “MITRE Engenuity ATT&CK 评估：2025 企业版” 测试，随后在 9 月 12 日，SentinelOne 与帕洛阿尔托网络公司（Palo Alto Networks）也确认将退出今年的该测试。 这些决定引发了网络安全界对该评估项目未来走向及相关性的担忧。此举尤为出人意料，因为这三家均为行业内的主流厂商，且在 2024 年的测试中表现优异 —— 微软的解决方案位列榜首，SentinelOne 排名第五，帕洛阿尔托排名第十二。 值得注意的是，微软的退出决策更显意外：就在 2024 年 12 月，该公司还曾利用其在 MITRE 测试中的排名，推广旗下解决方案 Microsoft Defender XDR。 有趣的是，三家公司为退出测试给出的理由如出一辙，均表示希望将重点优先放在产品开发与创新上。 然而，专家指出，背后可能还存在其他因素，例如该测试正逐渐被视为 “宣传工具”，而非能真正推动安全能力提升的评估机制。 《信息安全》（Infosecurity）杂志采访了 MITRE 首席技术官兼 MITRE 实验室高级副总裁查尔斯・克兰西（Charles Clancy）。克兰西分享了该评估测试的发展演变细节，或许能为理解厂商退出决策（2025 年测试结果将于 12 月公布）提供参考。 一、ATT&CK 评估：企业版的背景 MITRE 公司是总部位于美国的非营利组织，运营着多个网络安全项目，其中部分项目是受美国政府委托开展。 2015 年，MITRE 推出 ATT&CK 框架，该框架迅速成为网络安全行业的标准工具，用于梳理现实世界中网络攻击者的技术、战术与流程（TTPs）。 克兰西表示，2019 年 MITRE ATT&CK 启动首个评估项目，旨在 “填补安全测试市场的空白”。 他解释道：“当时市场上已有多种网络安全产品第三方测试，但每种测试都有自己的流程和评分方法，导致结果不一致且缺乏严谨性，无法推动行业进步。” “MITRE Engenuity ATT&CK 评估：企业版” 是所有评估测试中最常规的一项，自启动以来每年举办一次。 CrowdStrike 公司工程总监伊加尔・戈夫曼（Igal Gofman，曾任职于微软和 Tenable，担任安全研究员）在领英（LinkedIn）帖子中称，该测试堪称 “网络安全界的奥运会”。 克兰西向《信息安全》透露，MITRE 网络安全业务板块共有 1000 名工作人员，其中 133 人专职负责 MITRE ATT&CK 相关工作，而参与评估测试的人员有 12 至 15 人。 每年，测试项目团队会根据 ATT&CK 框架中梳理的攻击者 TTPs，从多个真实攻击者案例中选取一个或多个，以及对应的攻击链作为测试场景。 随后，他们使用 MITRE 自研的自动化攻击者模拟平台 Caldera，对参与厂商的 EDR 解决方案进行模拟攻击测试，并依据多项标准评分，包括检测结果、误报率（假阳性）与漏报率（真阴性）等。 尽管该测试可用于对比不同 EDR 解决方案的有效性，但克兰西强调，不应将其视为 “纵向基准”，因为每年的测试内容与前一年存在显著差异。 他表示：“我们希望通过测试传递的核心理念是，评估单一产品对特定威胁攻击者的检测能力。每年模拟不同的攻击者，对于了解各类新兴威胁至关重要。” 二、2024 与 2025 年测试详情 2024 年的 “MITRE ATT&CK 评估：企业版” 中，测试团队模拟了三类攻击者的行为： 与朝鲜相关的已知黑客组织：涉及 7 类战术中的 14 项技术； CL0P 勒索软件团伙：涉及 7 类战术中的 16 项技术； LockBit 勒索软件团伙：涉及 11 类战术中的 31 项技术。 作为 EDR 领域的头部厂商之一，CrowdStrike 并未参与 2024 年的测试。CrowdStrike 某 Reddit 子论坛上有一名自称该公司员工的用户表示，评估测试的时间恰好在 7 月 19 日该公司 EDR 产品全球宕机事件后不久，这可能是其退出的原因。 2024 年测试中，微软、ESET 与 Cybereason 位列前三，紧随其后的是 ThreatDown、SentinelOne 与 Bitdefender。 克兰西承认，每年参与测试的厂商会有变化，但他强调 “回头客” 仍占多数，厂商对测试的信任度总体稳定。 三、厂商为何退出 MITRE 测试？ 然而，今年（结果预计 12 月公布）的测试将缺少三家关键厂商：微软、SentinelOne 与帕洛阿尔托网络公司。 6 月 13 日，微软宣布不参与今年测试，称该决策 “能让我们将所有资源集中在‘安全未来计划’（Secure Future Initiative）上，并为客户交付产品创新成果”。 9 月 12 日，SentinelOne 与帕洛阿尔托发布了类似声明： SentinelOne 表示，希望 “将产品与工程资源优先投入以客户为中心的项目，同时加快平台路线图推进”； 帕洛阿尔托则解释，该决策 “能让我们进一步加速关键平台创新，直接应对客户最紧迫的安全挑战，并更快速地响应不断演变的威胁态势”。 《信息安全》杂志试图联系三家公司获取更多评论，其中 SentinelOne 与帕洛阿尔托拒绝进一步置评，微软则未回应采访请求。 不过，MITRE 的克兰西表示，他与这三家厂商保持着密切沟通，并认为自己了解他们退出的深层原因： 首先，正如厂商在声明中提及的，参与 MITRE ATT&CK 评估项目需要投入大量资源 —— 这意味着用于测试的时间和人力，会占用其他项目的资源。 其次，克兰西指出，测试团队每年都会努力提高测试难度，他坦言今年可能 “用力过猛”。 他解释道：“为了推动整个行业进步，我们每年都会设计比前一年更难的测试。因为测试能为厂商提供机会：准备测试时升级产品，拿到结果后进一步优化。但有时，我们确实没能把握好难度平衡。” ManageEngine 公司终端安全产品高级产品经理维沙尔・桑塔拉姆（Vishal Santharam）在接受《信息安全》采访时，进一步阐释了克兰西的观点。 他提到：“2024 年，MITRE 开始在评估中统计警报数量，这对厂商来说始终是个难题 —— 需要精准调整警报机制。警报越多，安全人员的‘警报疲劳’就越严重。” 桑塔拉姆此处引用的是弗雷斯特研究公司（Forrester）一份基于警报数量解读 2024 年 MITRE 企业版评估的报告。 此外，桑塔拉姆指出，2025 年企业版评估纳入了 “云环境” 场景，“这是未经测试的新领域，需要厂商投入更多精力应对”。 最后，克兰西向《信息安全》透露，过去团队每年都会举办 “厂商论坛”，为 “MITRE ATT&CK 评估：企业版” 测试做准备。 他承认：“这个论坛每年都有助于我们与行业合作确定测试目标，但在过去几年里，论坛逐渐停办了。” CrowdStrike 的戈夫曼则在领英上直言，MITRE 评估测试最初是衡量安全解决方案的优秀举措，但近年来已沦为 “厂商表演秀”。 他表示：“厂商投入巨额资源，只为赢得公关优势，而非实现真正的安全提升。加之 MITRE 和美国网络安全与基础设施安全局（CISA）面临预算削减与调整压力，部分厂商可能认为这是退出的好时机。” 他补充道：“基于 TTP 的测试理念仍有价值，但如今的测试方式已逐渐过时、过度聚焦终端，且与现实威胁脱节，价值大不如前。” 漏洞检测公司 VulnCheck 的漏洞研究员帕特里克・加里蒂（Patrick Garrity）也认同这一观点。他在另一条领英帖子中表示：“听起来，这种基准测试活动已变成巨大的干扰 —— 厂商为了宣传曝光，牺牲了打造更优质产品的精力。” 尽管存在这些担忧，克兰西仍确认，已有 12 家网络安全厂商确认参与 2025 年的测试。 四、MITRE 计划 2026 年重启厂商论坛 克兰西向《信息安全》透露，团队计划在 “2026 年 MITRE ATT&CK 评估：企业版” 测试前，重新举办厂商论坛。 他表示：“我们已着手准备，为 2026 年测试重启这一论坛。” 在 SentinelOne 与帕洛阿尔托宣布退出 2025 年测试后，克兰西于 9 月 18 日在领英上发布帖子，公开了这一计划。 桑塔拉姆也向《信息安全》表示，ManageEngine 正在研发一款 EDR 解决方案，并计划参与 2026 年的 “MITRE Engenuity ATT&CK 评估：企业版”。 他介绍：“ManageEngine 的‘高级反恶意软件’与‘下一代杀毒软件’产品，首次参与测试便获得了 AV-Comparatives（国际权威杀毒软件测试机构）认证。该解决方案为我们下一代 EDR 产品奠定了基础，同时能提供全面的恶意软件与勒索软件防护。” “我们还在为参与即将到来的‘Gartner 终端保护平台（EPP）魔力象限’评估与 MITRE ATT&CK 测试做准备。这些独立评估不仅能证明我们技术的稳健性与可靠性，也能帮助客户建立对我们 EDR 能力的信心。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国参议员罗恩·怀登（Ron Wyden）已向美国联邦贸易委员会（FTC）致信，要求该机构对微软展开调查，因其产品未能提供足够的安全性，导致针对医疗保健机构的勒索软件攻击。 参议员在正式提出请求时指出，微软应对其“严重的网络安全疏忽负责，这导致了针对关键基础设施（包括美国医疗保健机构）的勒索软件攻击”。 参议员强调，微软长期未能采取果断行动，有效缓解其产品中众所周知的安全风险，导致了诸如2024年Ascension Health勒索软件入侵事件的发生，该事件泄露了560万名患者的数据。 2024年5月发生的这起事件，是由于一名承包商在微软Edge浏览器中点击了一个恶意的必应搜索结果，从而使黑客得以实施“Kerberoasting”攻击。 Kerberos是一种网络认证协议，它通过验证用户和服务的身份（无需密码交换）来提供对网络资源的访问。 Kerberoasting是一种在被入侵后使用的攻击技术，它允许攻击者从微软活动目录中窃取加密的服务账户凭据。 该技术利用了弱密码或容易被猜出的密码，这些密码有时使用不安全且已废弃的RC4算法进行加密，可以用现成的暴力破解工具解密。 密码解密后，攻击者可以利用它提升权限，并在被入侵的网络中横向移动，就像在Ascension Health入侵事件中那样。 参议员表示，他的团队在2024年7月与微软进行了对话，敦促这家科技巨头警告客户使用RC4而不是更强大的选项（如AES 128/256）的危险性，并将后者设置为默认选项。 微软在10月发表了一篇博客文章作为回应，但参议员表示，该文章过于技术化，未能清晰地向公司决策者传达警告。 尽管RC4是一种存在漏洞、允许恢复明文信息的弱密码算法，但它仍然是Kerberos中的一个选项，以支持无法接受更新、更安全算法的旧系统。 值得注意的是，微软曾承诺加强其产品的安全性。RC4继续存在于Kerberos中，是为了支持那些不接受更新、更安全算法的旧系统。 怀登明确将微软的做法视为严重的国家安全风险，并表示，除非FTC进行干预，否则还会发生更多高影响的事件。 “如果没有及时采取行动，微软这种疏忽的网络安全文化，加上其在企业操作系统市场的事实垄断，将构成严重的国家安全威胁，并使更多的黑客入侵不可避免。”——美国参议员罗恩·怀登 BleepingComputer已就此事联系微软，请求其发表评论，一位发言人向我们发来了以下声明： “RC4是一项旧标准，我们在软件工程和客户文档中都建议不要使用它——这也是它在我们的流量中占比不到0.1%的原因。然而，完全禁用它会破坏许多客户系统。” 该公司正在积极努力逐步淘汰该算法，以避免给客户带来任何干扰，并且正在发出警告，同时提供关于“以最安全的方式”使用该算法的建议。 “我们已将其列入路线图，最终将禁用其使用。我们已与参议员办公室就这一问题进行了沟通，并将继续听取他们或其他政府机构的问题。”微软发言人对BleepingComputer表示。 截至目前，FTC尚未对怀登的请求做出公开回应。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：     今天是微软2025年9月的“周二补丁日”，包括针对81个漏洞的安全更新，其中包含两个公开披露的零日漏洞。 此次“周二补丁日”还修复了9个“严重”漏洞，其中5个是远程代码执行漏洞，1个是信息泄露漏洞，2个是权限提升漏洞。 以下是每个漏洞类别的漏洞数量： – 41个权限提升漏洞 – 2个安全功能绕过漏洞 – 22个远程代码执行漏洞 – 16个信息泄露漏洞 – 3个拒绝服务漏洞 – 1个欺骗漏洞 当BleepingComputer报道“周二补丁日”的安全更新时，我们只计算在“周二补丁日”发布的更新。 因此，漏洞数量不包括本月早些时候修复的三个Azure漏洞、一个Dynamics 365 FastTrack实施资产漏洞、两个Mariner漏洞、五个Microsoft Edge漏洞和一个Xbox漏洞。 要了解更多关于今天发布的非安全更新的信息，您可以查看我们关于Windows 11 KB5065426和KB5065431累积更新以及Windows 10 KB5065429更新的专门文章。 修复两个公开披露的零日漏洞 本月的“周二补丁日”修复了Windows SMB服务器和Microsoft SQL服务器中的两个公开披露的零日漏洞。微软将零日漏洞定义为在没有官方修复程序的情况下公开披露或正在被利用的漏洞。 这两个公开披露的零日漏洞是： · CVE-2025-55234 – Windows SMB权限提升漏洞 微软修复了一个通过中继攻击利用的SMB服务器权限提升漏洞。 “根据配置，SMB服务器可能容易受到中继攻击。成功利用这些漏洞的攻击者可以执行中继攻击，并使用户受到权限提升攻击。”微软解释道。 微软表示，Windows已经包括了一些设置，以增强SMB服务器对中继攻击的防护，包括启用SMB服务器签名和SMB服务器扩展保护认证（EPA）。 然而，启用这些功能可能会导致与旧设备和实现的兼容性问题。 微软建议管理员在SMB服务器上启用审核，以确定在完全强制执行这些加固功能时是否会遇到任何问题。 “作为2025年9月9日及以后发布的Windows更新的一部分（CVE-2025-55234），启用了对SMB服务器签名以及SMB服务器EPA的SMB客户端兼容性的审核支持。”微软解释道。 微软没有将该漏洞归因于任何研究人员，目前尚不清楚该漏洞是在何处被披露的。 · CVE-2024-21907 – VulnCheck：CVE-2024-21907 Newtonsoft.Json对异常条件的不当处理 微软修复了Newtonsoft.Json中的一个已知漏洞，该漏洞是作为Microsoft SQL Server的一部分包含的。 “CVE-2024-21907解决了Newtonsoft.Json在13.0.1版本之前的异常条件处理不当漏洞。”微软解释道。 “传递给JsonConvert.DeserializeObject方法的精心制作的数据可能会触发StackOverflow异常，导致拒绝服务。根据该库的使用情况，未经身份验证的远程攻击者可能能够导致拒绝服务条件。” “记录的SQL Server更新包含了修复此漏洞的Newtonsoft.Json更新。” 该漏洞于2024年被公开披露。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警告称，以经济利益为驱动的威胁组织Storm-0501已调整其攻击策略，将重点转向针对云环境进行数据窃取和勒索。 至少自2021年起开始活跃的Storm-0501，因在针对本地和混合云环境的攻击中使用多种勒索软件家族而闻名，包括Sabbath、Alphv/BlackCat、Hive、Hunters International、LockBit以及Embargo。 去年，该黑客组织通过入侵Active Directory环境，转而攻击Entra ID，将权限提升至全局管理员，在Entra ID租户配置中植入后门，并部署本地勒索软件以加密文件。 在最近一次针对大型企业的攻击中，该威胁行为者使用了类似手法：它入侵了多个Active Directory域，进行侦察以识别受保护的端点并规避检测，并利用Evil-WinRM这一利用后工具进行横向移动。 随后，Storm-0501攻陷了一台Entra Connect Sync服务器，并伪装成域控制器以请求域用户的密码哈希值。它还枚举了用户、角色和Azure资源，并尝试以多个特权用户身份登录。 登录尝试失败后，黑客随后在不同的Active Directory域之间穿梭，攻陷了另一台Entra Connect服务器，识别出一个在Entra ID中拥有全局管理员权限的非人类同步身份，并重置其密码以访问该账户。 微软解释道：“因此，威胁行为者能够使用新密码以该用户身份向Entra ID进行身份验证。由于该用户未注册MFA，在使用新分配的密码成功验证后，威胁行为者被直接引导至在其控制下注册一个新的MFA方法。” 在识别出一台Microsoft Entra混合联接设备后，Storm-0501得以以全局管理员身份访问Azure门户，从而获得了对云域的完全控制权。它立即通过注册一个新的Entra ID租户部署了后门，使其能够以任何用户身份登录。 在获得顶级的Entra ID权限后，黑客将其权限提升为受害者所有Azure订阅的“所有者”Azure角色，实质上接管了整个Azure环境。 微软指出：“我们评估认为，威胁行为者使用各种技术（包括使用AzureHound工具）启动了一个全面的发现阶段，试图定位组织的关键资产，包括包含敏感信息的数据存储，以及用于备份本地和云端点设备的数据存储资源。” 攻击者还瞄准了Azure存储账户，滥用Azure“所有者”角色窃取其访问密钥，然后将无法通过互联网访问的账户暴露到互联网及其自身基础设施中，随后使用AzCopy命令行工具（CLI）进行数据外泄。 窃取数据后，黑客开始大规模删除数据以防止补救措施。他们还试图删除那些保护数据免遭删除的防护措施，并对无法删除的资源实施基于云的加密。 微软称：“在成功外泄并销毁Azure环境中的数据后，威胁行为者启动了勒索阶段，他们使用先前已入侵的一个用户账户通过Microsoft Teams联系受害者，要求支付赎金。” 这家科技巨头还指出，Storm-0501在入侵受害者的云环境后，依赖云原生命令和功能来执行侦察、横向移动、凭据外泄、权限提升以及数据外泄、删除和加密。 公司强调：“Storm-0501持续展现出在本地和云环境之间移动的熟练能力，这例证了随着混合云采用率的增长，威胁行为者是如何适应的。他们寻找混合云环境中未受管理的设备和安全漏洞以规避检测并提升云权限，在某些情况下，还会在多租户设置中穿梭租户以达到其目标。”         消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙正在调整策略，窃取存储在云中的数据并锁定公司自有系统。 微软周三发布警告，称其近期发现一个自2021年以来一直发动勒索软件攻击的威胁行为者参与的活动。据这家科技公司称，该威胁行为者能够快速泄露大量数据，同时销毁备份并索要赎金。事件响应人员表示：“虽然该威胁行为者已知针对混合云环境，但他们的主要目标已从部署本地端点勒索软件转向使用基于云的勒索软件策略。” 尽管勒索软件团伙传统上依靠部署恶意软件来加密文件，但该威胁行为者近期的策略表明，他们在攻击过程中不再需要这样做。 微软将该黑客称为Storm-0501，其最初在2021年针对美国学区的攻击中使用了Sabbath勒索软件，此后在针对医疗保健领域时持续使用多种勒索软件变种。在2024年的攻击中，其最近使用了Embargo勒索软件。 随着云系统采用率的提高，该黑客改变了方法，开始瞄准能提供全局管理员权限的账户信息。 在微软追踪的最近一次活动中，该黑客成功访问了一个由多家安全成熟度不一的子公司组成的匿名“大型企业”。该黑客检查了哪些子公司和办公室未启用微软安全工具，试图在横向移动网络之前避免被检测到。经过多次移动，他们找到了一个未启用多因素认证的账户，从而能够重置该账户的密码并注册自己的MFA方法。 一旦获得公司云网络的完全访问权限，他们便创建了一个后门，使其能够以几乎任何用户身份登录。他们使用多种工具来定位组织的关键资产，然后窃取大量敏感数据并销毁信息。 该黑客还花时间删除了备份，然后索要赎金。 微软表示：“完成数据泄露阶段后，Storm-0501开始大规模删除包含受害组织数据的Azure资源，通过恢复数据阻止受害者采取补救和缓解措施。”“在该威胁行为者尝试大规模删除数据存储/托管资源的过程中，由于环境中现有的保护措施，他们遇到错误并未能删除部分资源。” 对于无法删除的数据，该黑客尝试使用基于云的加密方式来锁定公司自有数据。由于在该威胁行为者删除密钥后，公司得以恢复密钥来解锁数据，此举未能成功。 微软称，在完成所有这一切后，该黑客通过Microsoft Teams联系了受害公司，“使用先前被入侵的一个用户，要求支付赎金”。 多家安全公司警告，过去使用勒索软件的精密黑客现已转向针对公司存储在云中的数据。过去一年中，已发生多起涉及从Snowflake和Salesforce等存储巨头窃取数据的高调活动。 谷歌周一表示，发现一项活动中黑客利用第三方服务窃取Salesforce数据——其主要目标似乎是窃取登录凭证，这可能“允许他们进一步危害受害者和客户环境，并转向受害者的客户或合作伙伴环境”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文