几天前微软紧急发布了一个带外（OOB）更新 KB5004945， 以修复“PrintNightmare”高危零日漏洞。但随后安全专家发现只需要修改注册表中的一个值就能绕过这个补丁，依然能利用该漏洞执行远程操作。 不过微软官方对本次更新予以肯定，表示在注册表安全设置下新更新能够保护用户，但修改注册表的行为是不安全的，在常规状态下不太会发生。微软官方回应道 我们已经收到了这方面的信息，并已着手进行调查，但目前我们并没有发现任何绕过该更新的情况。我们观察到可以绕过更新的方法，但这需要管理员将默认注册表设置更改为不安全的配置。参见 CVE-2021-34527 指南，以了解保护系统所需的设置的更多信息。   （消息及封面来源：cnBeta）

微软今天推出了一个紧急 Windows 修复补丁，以修复存在于 Windows Print Spooler 服务中的一个关键缺陷。该漏洞被称之为“PrintNightmare”，在安全研究人员无意中公布了概念验证（PoC）的利用代码后，于上周被曝光。 微软已经发布了带外安全更新以解决该漏洞，并将其评为关键漏洞，因为攻击者可以在受影响机器上以系统级权限远程执行代码。由于 Windows Print Spooler 服务在Windows上默认运行，微软不得不为 Windows Server 2019、Windows Server 2012 R2、Windows Server 2008、Windows 8.1、Windows RT 8.1 以及 Windows 10 的各种支持版本发布补丁。 微软甚至采取了不寻常的措施，为去年正式停止支持的 Windows 7 发布了补丁。不过，微软还没有为 Windows Server 2012、Windows Server 2016 和 Windows 10 Version 1607 发布补丁。微软表示，”这些版本的Windows的安全更新将很快发布”。 PrintNightmare，在漏洞代号CVE-2021-34527下被追踪，现在已被授予通用漏洞评分系统（CVSS）基本评级为8.8。值得注意的是，CVSS v3.0规范文件将其定义为 “高严重性”漏洞，但它非常接近从9.0开始的”危急”评级。目前的时间紧迫性得分是8.2，时间分是根据一些因素来衡量一个漏洞的当前可利用性。 基础分被定为8.8分是因为微软已经确定该攻击载体是在网络层面，需要较低的攻击复杂性和权限，不涉及用户互动，并可能导致组织资源的保密性、完整性和可用性 “完全丧失”。同时，时间分是8.2分是因为功能上的漏洞代码在互联网上很容易获得，并且适用于所有版本的Windows，存在关于它的详细报告，并且有一些官方的补救方法被建议。   （消息及封面来源：cnBeta）

虽然每月的补丁星期二活动微软都会发布一系列安全更新，但依然存在“漏网之鱼”。日前，国内安全公司深信服（Sangfor）发现了名为 PrintNightmare 的零日漏洞，允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力。该漏洞已引起美国网络安全和基础设施安全局（CISA）的关注，微软正在积极开展调查。 CISA 将 PrintNightmare 漏洞描述为“关键漏洞”（Critical），因为它可以远程执行代码。CERT 协调中心在 VU#383432 下对其进行跟踪，并解释说，问题的发生是因为 Windows Print Spooler 服务没有限制对 RpcAddPrinterDriverEx() 函数的访问，这意味着经过远程验证的攻击者可以利用它来运行任意代码。这种任意代码的执行是在SYSTEM的幌子下进行的。 作为参考，这个有问题的函数通常用于安装打印机驱动程序。然而，由于远程访问是不受限制的，这意味着有动机的攻击者可以使它指向远程服务器上的驱动程序，使受感染的机器以SYSTEM权限执行任意代码。 值得注意的是，微软在6月的 “补丁星期二 “更新中修复了CVE-2021-1675的相关问题，但最新的进展并不在修复范围内。该公司表示，它正在积极调查这个问题，并为域名管理员提出了两个解决方法。第一个是禁用 Windows Print Spooler 服务，但这意味着本地和远程的打印都将被禁用。第二种是通过组策略禁用入站远程打印。这将限制远程打印，但本地打印仍将正常工作。 微软正在以CVE-2021-34527追踪该漏洞。该公司明确表示，有问题的代码存在于所有版本的Windows中，但它仍在调查它是否也可以在所有版本中被利用。也就是说，由于该问题正在积极调查中，微软还没有给它一个漏洞评分，但也将其标记为 “关键”。   （消息及封面来源：cnBeta）

微软今天宣布，它正在收购ReFirm实验室，以提高其在各设备上的固件分析和安全能力。ReFirm实验室将为微软带来固件安全和Centrifuge固件平台方面的专业知识。这将提高微软通过Azure Defender for IoT帮助保护物联网和OT设备的能力。 ReFirm Labs是开源软件Binwalk的开发方，该软件已被用于分析数以千计的设备类型的固件安全问题，包括发现未修补的常见漏洞和暴露（CVE），安全隐患，以及插件物联网设备和嵌入式固件中的许多其他安全问题。 现代计算设备可以被认为是分立的微处理器的集合，每个微处理器都有专门的功能，如高速网络、图形、磁盘I/O、人工智能，以及两者之间的一切。智能边缘的出现加速了这些与云连接的设备的数量，这些设备包含多个专门的子处理器，每个都有自己的固件层，通常还有一个自定义操作系统。许多漏洞分析和终端检测与响应（EDR）工具发现，在固件层面上监控和保护设备具有挑战性，攻击者会利用了有吸引力的安全漏洞。 针对固件的攻击数量在增长，在这些固件中，敏感信息如证书和加密密钥被存储在内存中。最近，微软委托对1000名安全决策者进行的一项调查发现，83%的人经历过某种程度的固件安全事件，但只有29%的人正在分配资源来保护这一关键层。 确保这些设备安全的挑战始于确保供应链的安全。设备制造商通常在他们的解决方案中集成第三方软件和组件，但他们缺乏分析他们所使用的组件的工具和专业知识，因此可能在不知情的情况下运送存在安全漏洞的设备。 这就是ReFirm实验室的作用。微软认为，固件不是未来的威胁，而是随着更多的设备涌入市场并扩大可用的攻击面，现在就必须确保安全。 ReFirm实验室将加入微软，以丰富其固件分析和安全能力，这些设备构成了智能边缘，从服务器到物联网。ReFirm实验室加入微软后，将带来固件安全方面的专业知识和Centrifuge固件平台，以增强分析和帮助保护固件的能力，并以微软的云计算能力和速度为支撑。   （消息及封面来源：cnBeta）

上周，微软发现了针对政府雇员和权利组织的数千个账户的复杂型网络钓鱼攻击，并指向了幕后黑手 Nobelium 。此前，该黑客组织曾被认为与俄方情报机构 SVR 和近期的 SolarWinds 攻击有关。为了应对愈演愈烈的此类规模的网络攻击，这家软件巨头现又提出了新的防御建议 —— 鼓励客户积极采用云技术。 微软客户安全与信任副总裁 Tom Burt 在一篇博客文章中指出，该公司一直在密切关注局势的发展，且反病毒软件和 Microsoft Defender for Office 365 等解决方案正在积极检测和防御此类恶意软件。 庆幸的是，由于许多大客户都选用了微软的方案，即便它们是攻击者的首选破坏目标，但实际造成的损害仍在可控范围之内。 Tom Burt 还在文中提到了一个重要观点，即我们需要区分与往常不大一样的间谍行动，比如上周发生的 Nobelium 攻击，以及 SolarWinds 和 Colonial Pipelines 等网络攻击事件。 其次，Tom Burt 对美国政府的网络安全行政命令表示了赞扬，强调了公共与私营部门需要在整个生态系统内开展更多的合作与加强，而不仅仅依赖于遵循政府指导的网络安全基础设施。 基于此，Tom Burt 认为企业组织负责人需要更加明确地辨别和应对此类活动： […] 我们必须努力阻止破坏性的网络攻击，且政府部门在调查 SolarWinds 黑客攻击这件事上的反应速度已经有较大的进步。 政府还对这些行动实施了相应的制裁，这也是震慑幕后黑手不可或缺的一部分。但除此之外，我们还有更多的事情要去做。[…] 最后，这家总部位于雷德蒙德的科技巨头强调了向云技术过渡的重要性，因为云服务提供商们正在积极努力遵循最新的网络安全标准和托管工具，同时鼓励每个人在使用数字服务时都应至少启用双因素身份验证。   （消息及封面来源：cnBeta）

2021 年第 1 季度，网络犯罪分子利用 Office 365、Azure、OneDrive、SharePoint、G-Suite 和 Firebase 等存储服务发送了 5200 万条恶意信息。在疫情期间在企业加速推进云端迁移的过程中，犯罪分子将钓鱼电子邮件隐藏到微软和Google的各项服务中，来达到窃取用户数据、勒索用户等目的。   Proofpoint 安全研究人员发现，仅在 2021 年第 1 季度，从 Microsoft 365 发出的恶意电子邮件就超过 700 万封，从Google基础设施发出的恶意邮件就超过 4500 万封。此外，他们还发现，网络犯罪分子利用 Office 365、Azure、OneDrive、SharePoint、G-Suite 和 Firebase 存储，以便发送钓鱼邮件和主机攻击。 报告中指出：“通过这些受信任的云服务的恶意信息发送量已经超过 2020 年任意僵尸网络，而这些域名的受信任声誉，包括 outlook.com 和 sharepoint.com，增加了防御者的检测难度”。 只要一个账号被攻克就有可能导致一大片网络的沦陷，ProofPoint 估计有 95% 的组织成为云账户泄露的目标，而且超过一半以上是成功。此外，超过 30% 的被攻击的组织“经历了访问后的活动，包括文件操作、电子邮件转发和OAuth活动”。 一旦攻击者掌握了证书，他们就可以迅速切换各种服务，发送更有说服力的钓鱼邮件。Proofpoint提供了许多活动的例子，这些活动试图诱使用户交出他们的详细资料或提供恶意软件，同时隐藏在微软和Google的背后。 根据Proofpoint团队的说法，有一条信息包括一个微软的SharePoint URL，声称将收件人引向详细介绍COVID-19准则的文件。这条恶意信息被发送给运输、制造和商业服务行业的5000名收件人。 最近的另一个欺诈性视频会议凭证网络钓鱼活动使用了.onmicrosoft.com域名。这些信息包括一个重定向到一个假的网络邮件认证页面的URL，旨在窃取用户凭证。这一数量不多的活动由大约10,000条信息组成，目标是制造业、技术和金融服务的消费者。   （消息及封面来源：cnBeta）

微软的威胁和漏洞管理（TVM）套件允许企业改善设备的安全配置。它提供发现威胁的洞察力，自动对问题进行优先排序，并允许公司无缝补救漏洞。以前，这些功能只在Windows和macOS上提供，但微软现在也将支持扩展到了 Linux 平台。 目前微软 TVM 支持的 Linux 发行版本包括 RHEL、CentOS 和 Ubuntu。后续还将会增加对 Oracle Linux、SUSE 和 Debian 的支持。 TVM功能可以从微软端点防御系统直接管理。此外，它的API可以被调用，以获得对基础数据集的访问，包括漏洞评估和软件库存等。这也意味着安全合作伙伴可以利用这些 API 来获取这些数据，并建立自己的定制解决方案。 微软接着说：“随着混合劳动力成为新常态，组织继续面临新的安全挑战，微软威胁和漏洞管理能够更好地洞察组织风险和设备的整体安全态势。我们专注于广泛的平台支持和互操作性，致力于为客户提供他们所需的灵活性和覆盖面，以尽早发现漏洞和错误配置，并使补救措施变得简单”。 除了 TVM 登陆 Linux 平台之外，安全配置评估组件现在也在 macOS 和 Linux 的公开预览中。此前，它只在 Windows 和 Windows Server 设备上可用。你可以在这里找到更多关于它的信息。   （消息及封面来源：cnBeta）

微软宣布了一项名为 “微软云的欧盟数据边界”的新举措，通过这一做法，微软旨在使欧盟客户在2022年前将其所有数据存储在该地区。该计划适用于该公司的所有核心云服务，即Microsoft 365、Dynamics 365和Azure，这将为那些希望满足本地数据存储要求和实现本地化承诺的客户带来更大的安心。 微软将继续与这些组织以及监管机构合作，确保在2022年底前完成实施这一变化的工程工作。 现在，微软大部分在线服务允许用户选择数据存储的地理位置，但在未来几个月，它将进一步加强这些服务，以减少欧盟以外的数据传输，然而，客户仍将有能力利用增强的服务，利用位于欧盟以外的资源。 微软强调，新的欧盟客户不需要等待，其使用到的云服务就已经遵循欧盟执行的准则，使客户能够遵守GDPR，即使没有这个额外的承诺，在欧盟边界内存储和处理数据时，微软也在Schrems II决定后实施了补充措施，以进一步支持数据传输的合规性，这些措施满足并超越了Schrems II决定的要求。与此同时，微软正在进行这些额外的投资，以便在2022年底前在欧盟处理和存储数据。这表明其对欧洲客户的持续承诺，并通过最大限度地减少欧盟边界以外的数据传输来简化后Schrems II的合规性。 欧盟标准合同条款（SCC）用于服务提供商（如微软）和他们的客户之间的协议，以确保任何离开欧洲经济区（EEA）的个人数据将按照欧盟数据保护法进行转移，并满足欧盟数据保护指令95/46/EC的要求。 微软将执行欧盟委员会修订的SCC，并继续为客户提供围绕微软服务范围内个人数据转移的具体保证。这确保了微软的客户可以通过微软云将数据从欧洲经济区自由转移到世界其他地区。如果客户对自家部署的SCC的适用性有具体疑问，应该咨询他们的法律顾问。 该公司已明确表示，它不会让美国政府或任何其他政府访问欧洲数据，并将把所有此类请求转给客户。在可能的情况下，它将把此事送进法庭，并通知客户，除非法律禁止它这样做。同样，如果任何客户数据的披露违反了GDPR，该公司将对受影响的客户进行经济赔偿。 尽管微软从其角度评估了实施这些变化所需的工程和技术努力，但公司表示，它将继续与客户和监管机构协商在特殊情况下可能需要的潜在调整。   （消息及封面来源：cnBeta）

随着互联网的普及和不断发展，躲在灰色角落的各种网络安全威胁也愈演愈烈。近年来，我们已经听到大量有关加密劫持、网络钓鱼、以及勒索类恶意软件的报道，且企业组织正在被更多攻击者给盯上。其中许多网络安全威胁，都使用了欺骗性的电子邮件作为攻击媒介，以诱使受害人在设备上安装恶意软件。 今天，软件巨头微软再次发布了面向组织机构的反诈宣传文案，并且强调了已经泛滥成灾的礼品卡骗局。 文中指出，攻击者正在利用企业电子邮件泄露（BEC）。作为一种网络钓鱼技术，其旨在访问企业信息或窃取金钱。 在本例中，攻击者利用了域名抢注，来诱骗受信任误以为发件人是老朋友，且涵盖了房地产、消费品、农业等各个领域。 在一个典型案例中，行政助理收到了一封伪装成其老板的电子邮件，称其想要鼓励员工在 COVID-19 大流行期间的艰苦工作，因而交代行政人员立即采购一批礼品卡，并通过电子邮件的形式来发放兑换码。 结果粗心的助理在这么做之后，最终发现上司从未发过这封电子邮件。尽管这套流程似乎很简单，但微软还是指出了 BEC 攻击的不同寻常之处。有些时候，攻击者甚至会扮演团队中的多个角色来忽悠受骗者。 在得逞之后，冒名者通常会立即访问特定的站点，以将礼品卡兑换成加密货币或其它形式的资产。在被微软观察到的 120 个冒名顶替域名中，大部分都是在攻击发生数日前抢注的，意味着背后的组织协调性可能也极高。 微软补充道：我们注意到这些域名并未启用隐私保护，更谈不上欧盟《通用数据保护条例》（GDPR）的合规性。 攻击者为每个冒名顶替域名留下了不同的登记邮件地址（首选 Gmail 等免费邮件服务），且注册人信息似乎也只是自动随机声称的名字和姓氏。 与往常一样，微软再次推荐了自家的 Microsoft Defender for Office 365 服务。除了帮助企业抵御潜在的攻击，它还能够鉴别用户和域名、以及增强员工之间的辨识度等。     （消息及封面来源：cnBeta）

由多家技术公司和执法部门组成的全球联盟正呼吁加强勒索软件打击力度，对其采取“积极而紧迫”的行动。包括微软、亚马逊在内的科技巨头，包括联邦调查局和英国国家犯罪局在内的执法部门加入了Ransomware Task Force (RTF)，向政府提供了将近 50 条建议。 RTF 已经将建议相关报告提交给拜登政府。在报告中写道：“这不仅仅严重危金钱，勒索软件在短短几年时间内已经成为威胁国家安全、公共健康的严重安全问题”。 RTF 联合主席、来自网络安全公司 Rapid 7 的 Jen Ellis 表示：“公民每天都受到这一影响。它对经济和普通民众访问关键服务的能力产生了巨大影响。不仅如此，而且非常令人不安的是，来自有偿赎金的资金用于其他形式的有组织犯罪，例如人口贩运和对儿童的剥削”。 伦敦哈克尼区信息与通信技术总监罗布·米勒（Rob Miller）说：“去年10月的一个星期天早晨，我接到电话询问我们的IT系统问题。很快就意识到这是一次严重的网络攻击”。 他表示：“我们不得不将所有东西下线，并关闭所有系统。而我们的希望为超过 30 万公民提供 24/7 全天候服务，这实在令人感到非常担忧。我们知道摆在我们面前的是巨大的挑战，整个理事会必须团结所有部门的力量，以尽快恢复和运行关键服务”。 他继续说道：“造成的损失确实很大，房屋维修，福利金支付和土地登记都受到了影响。距离我们完全康复还需要几个月的时间，而我不明白这背后的罪犯动机”。   （消息及封面来源：cnBeta）