微软Exchange服务器的独立安装存在一系列缺陷，这导致了一场规模庞大的网络安全事件，有几十万台Exchange服务器的安装被黑客组织Hafnium入侵。Krebs on Security报道称，大量的小企业、城镇、城市和地方政府已经被感染，黑客在盗取了数据之余还留下了一个Web Shell，以便进一步指挥和控制。 为了快速帮助潜在受害者判断和解决问题，今天，微软发布了新的工具和指南，帮助服务器管理员检测和减轻威胁。 首先最重要的是，微软发布了免费的Exchange服务器 “入侵指标”工具的更新，该工具可用于扫描Exchange服务器的日志文件，以识别它们是否受到了入侵。 下载地址： https://github.com/microsoft/CSS-Exchange/tree/main/Security 微软还发布了紧急替代缓解指南，供无法应用微软已于3月2日发布的内置独立更新的管理员使用。然而应用补丁仍然是最有效的预防措施，如果你的服务器被感染，全面补救将是一项更大的工作。 “到目前为止，我们已经处理了几十个案例，早在2月28日[微软宣布其补丁之前]，一直到现在，”发现攻击的Volexity总裁Steven Adair说。”即使你在微软公布补丁的同一天打了补丁，你的服务器上仍然很有可能存在一个web shell。事实是，如果你正在运行Exchange，而你还没有打补丁，那么你的网络组织很有可能已经被入侵。” “最好的保护是尽快在所有受影响的系统中应用更新，”微软发言人在一份书面声明中说。”我们将继续通过提供额外的调查和缓解指导来帮助客户。受影响的客户应该联系我们的支持团队，以获得额外的帮助和资源。”           （消息来源：cnBeta；封面源自网络）  

据报道，谷歌正在游说参议院情报委员会成员，准备利用“SolarWinds黑客攻击听证会”向微软施压，询问其产品是否存在网络安全漏洞，并在此次黑客攻击事件中发挥了作用。去年12月，从事网络安全管理软件制作的SolarWinds公司表示，其安全防护软件遭黑客攻击。黑客还借助这款软件的后门，攻击了大量美国公司、政府部门，其中微软公司也受到了攻击。 SolarWinds称，黑客最初是通过微软Office 365服务中的漏洞进入其系统的。而微软则强烈否认了这一点。但微软承认，黑客获取了其部分产品的源代码，并审查了与这些产品相关的代码。 该事件曝光后，在过去的两个月里，微软因其产品在散布黑客网络中所扮演的角色而面临严格审查。 周一，谷歌向议员们提供了一份十多个问题的清单，一名参议院助手表示，这些问题旨在审查微软产品的安全性，如Windows 10、Azure和Office 365。 分析人士称，谷歌的这一举动，也是科技巨头利用政治几乎相互削弱的最新例证。微软自己也使用过这种策略：去年，微软总裁布拉德·史密斯（Brad Smith）曾呼吁各国政府，加强对苹果和谷歌运营应用商店的方式，进行反垄断调查。此外，就在本周，微软还公开支持在欧洲推动谷歌等公司为新闻链接付费。 目前尚不清楚，这个由16名成员组成的小组中的每一位议员是否都收到了谷歌的问题清单。         （消息及封面来源：cnBeta）

在调查发现 SolarWinds 黑客攻击事件对美国企业和联邦政府有着极其深远的影响之后，微软和 FireEye 高管于本周二联合敦促国会采取行动，以制定强制性的安全报告披露规则。微软总裁 Brad Smith 在提交给参议院情报委员会的文书中表示：“我们需要让私营机构承担明确、一致的披露义务，否则企业会在遭受黑客入侵时纷纷保持沉默”。 显然，作为 SolarWinds 入侵事件的余波，安全行业对当下的糟糕状况感到十分无奈，因而 Brad Smith 认为大家是时候做出集体的转变。 我们需要用明确、一致性的义务，来代替这种可怕的沉默。只有这样，私营组织才会在遭受到重大事件影响时及时披露信息。 曾因参与早期调查而受到赞誉的 FireEye 首席执行官 Kevin Mandia 补充道： 企业应该有一种方法来披露可能对国家安全造成重大影响的安全公告，而不必担心因此而受到法律的制裁。 与此同时，美国政府应考虑制定一个联邦层面的披露方案。除了分享威胁情报，还应通报与黑客攻击 / 入侵事件相关的细节。 FireEye 指出，去年 12 月，拥有复杂背景的黑客组织成功利用了 SolarWinds 的软件漏洞，渗透了多达 1.8 万名客户的内部网络，其中就包括 FireEye 和微软。 某位白宫官员在上周表示，在长达数月的行动期间，其已证实有 9 个联邦机构和 100 家私营实体受到了 SolarWinds 黑客事件的影响，且情报官员直指攻击者与俄方有关。 Kevin Mandia 和 Brad Smith 指出：“遗憾的是，按照现行的法律，相关企业并不需要主动公开披露黑客攻击事件”。 “虽然法律上没有提出举报和披露的义务，但我们认为这么做仍然很有必要。 除了保障每位客户的权益，还有助于维护联邦政府的安全。 如果没有这方面的信息披露与共享，那我们就无法确保这个国家的安全。” 据悉，虽然目前全美多州已明确规定要以某种形式披露安全公告，但在经历了多年的拉扯之后，联邦政府仍未能将此事摆上重要的日程。 参议院情报委员会主席 Mark Warner 周二表示：“我们可能等到有意披露的机构，但也可能对黑客攻击事件毫不知情。就算其它大型企业也可能成为受害者，但就是没人选择挺身而出”。 基于此，Mark Warner 认为越来越有必要制定一套强制性的安全公告和信息共享披露制度，并且建议在联邦层级上做出相应的努力。           （消息及封面来源：cnBeta）

微软正努力修复存在于 Windows 10 系统中的关键 NTFS 漏洞。当用户打开 HTML 文件、Windows 快捷方式或者解压缩包含单行命令的 Zip 文件时候，这个漏洞可能会损坏用户的磁盘。在该漏洞被触发的时候，用户就会看到一个弹出窗口，表示他们需要重启电脑来修复硬盘错误，以便于重启时启动 Windows 检查磁盘实用程序来修复损坏的磁盘。 这个漏洞事实上是在两年前，由前 CERT 协调中心的安全研究员 Will Dorman 发现的。他表示 Windows 10 Version 1803 及此前版本并不受该漏洞影响，但是 Windows XP 也存在这个问题。这个漏洞相当严重，因为它可以隐藏在一个随机的文件中，并瞬间破坏你的硬盘驱动器。 更糟糕的是，Bleeping Computer发现，当Windows文件资源管理器简单地显示一个损坏的快捷方式，将恶意命令隐藏在文件夹中时，它也可以被触发。报告解释说：“为了做到这一点，Windows资源管理器会试图在后台访问文件内的手工图标路径，从而在这个过程中破坏NTFS硬盘驱动器”。 微软终于在给The Verge的一份声明中承认了这一关键漏洞，并承诺在未来的更新中进行修复。微软发言人说：“我们知道这个问题，并将在未来的版本中提供更新。这种技术的使用依赖于社交工程，我们一如既往地鼓励我们的客户在网上养成良好的计算习惯，包括在打开未知文件、或接受文件传输时谨慎行事”。         （消息来源：cnBeta；封面源自网络）

在 WhatsApp 近日更新的隐私政策条款中，用户被告知他们的数据将会和 Facebook 以及其他公司共享。虽然用户现在可以选择退出，但在 2 月 8 日之后将会变成强制性要求。现在，微软的社交媒体团队也调侃了本次事件，并建议用户迁移到 Skype。 在 Skype 官方发布的推文中写道：“Skype 尊重你的隐私，我们我们致力于保护你的个人数据隐私，不会向第三方出售”。此外，该网址还指向微软的隐私政策声明，其中概述了该公司从用户那里收集什么样的数据以及如何使用这些数据。这是一个冗长的页面，大多数人都会忽略，但如果你确实因为隐私问题而考虑从WhatsApp迁移，建议你去看一看。     （消息来源：cnBeta；封面来自网络）

近日，网络安全和基础设施安全局（CISA）的云安全小组发布了检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具。 CISA发帖声明：“ CISA创建了一个用于检测 Azure/Microsoft 365 中恶意活动的免费工具，供相关事件响应者使用，且仅关注最近基于身份验证的网络攻击活动。”用户和管理员可访问此GitHub页面，以获取更多信息和检测对策。 Sparrow.ps1脚本检查并在计算机上安装必需的PowerShell模块，在MSAzure / M365中审核日志中是否存在某些IoC，列出Azure AD域并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。该工具将数据输出放置在默认目录中的多个CSV文件中。 基于使用Azure管理工具审核第三方经销商和合作伙伴的权限时存在困难的情况，CrowdStrike安全专家创建了自己的工具。因此管理员可以使用此工具分析微软Azure环境和审核分配给第三方合作伙伴及代理商的权限。             消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

在微软今年 6 月发布的更新中，修复了存在于 Windows 系统中的一个高危漏洞，允许黑客在受感染的设备上将权限提高到内核级别。这个漏洞在今年 5 月被高级黑客作为零日漏洞使用，不过近日谷歌 Project Zero 团队使用公开的概念证明，表示这个问题依然存在，只是方法有所不同。 谷歌 Project Zero 安全研究员 Maddie Stone 发现，微软 6 月份的补丁并没有修复原来的漏洞(CVE-2020-0986)，经过一些调整后，该漏洞仍然可以被利用。2020 年 5 月，该问题与 Internet Explorer中的一个允许远程代码执行的 BUG 一起被黑客利用进行权限升级。在卡巴斯基发现攻击时，这两个缺陷都是零日。 Stone 表示，攻击者现在仍然可以通过发送偏移量而不是指针来触发CVE-2020-0986，将权限增加到内核级别。在Twitter上，研究人员阐明说，最初的bug是一个任意的指针误引，允许攻击者控制memcpy函数的 “src “和 “dest “指针。 但是微软的修复补丁是不恰当的，因为微软只是将指针改为偏移，所以函数的参数仍然可以被控制。在今天的一份简短的技术报告中，她解释了如何触发该漏洞，现在确定为CVE-2020-17008。 一个低完整性的进程可以发送LPC消息到splwow64.exe（中等完整性），并在splwow64的内存空间中获得 write-what-where 权限 。攻击者通过memcpy调用控制目标、复制的内容和复制的字节数。       （消息来源：cnBeta；封面来源于网络）

微软总裁布拉德·史密斯(Brad Smith)近日警告说，SolarWinds 的 IT 软件 Orion 产生的大范围黑客攻击事件“仍在发酵”，表明这次攻击的范围、复杂程度和影响情况都是非常深远的。该漏洞主要针对美国政府机构，因此不少人猜测是有俄罗斯政府支持黑客组织实施的。 史密斯将本次黑客攻击定性为“清算的时刻”（a moment of reckoning），并阐述了微软认为这次黑客攻击的规模和危险性。史密斯认为，它 “代表了一种鲁莽的行为，给美国和世界造成了严重的技术漏洞”。 他认为这不仅仅只是对特定目标的攻击，而是对世界关键基础设施的信任和可靠性的攻击，以推动一个国家情报机构的发展。虽然帖子没有明确指责俄罗斯，但暗示的意思非常明显。史密斯称，“未来几周将提供越来越多的，我们相信关于最近这些攻击的来源的无可争议的证据”。 为了说明本次攻击的影响情况，史密斯分享了一张地图，使用 Microsoft Defender 反病毒软件中获取的遥测数据显示已经安装了带有恶意软件的 Orion 版本的设备 。 据史密斯透露，微软本周还一直在努力通知 40 多个客户，攻击者更精确地瞄准了这些客户，并通过额外和复杂的措施进行破坏。这些客户中约有 80% 位于美国，但微软还确认了加拿大、墨西哥、比利时、西班牙、英国、以色列和阿联酋的受害者。史密斯说：“可以肯定的是，受害者的数量和地点会不断增加”。 对此次黑客事件的调查还在进行中。联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和国家情报总监办公室(ODNI)周三发表联合声明称，他们正在协调 “整个政府对这一重大网络事件的反应”。而史密斯警告说，”我们都应该为公共部门和其他企业和组织中更多受害者做好准备”。       （消息及封面来源：cnBeta）

今天路透社报道称，微软在被黑客入侵之后，其资产被操纵从而参与了针对Solarwinds的攻击，有超过1.8万家公司和政府机构被感染了一个后门，这个后门将允许黑客（很可能是来自俄罗斯的黑客）自由访问他们的网络。 微软表示，他们已经在公司内部检测到了SolarWinds软件的恶意版本，但同时也表示，到目前为止，其调查没有显示出黑客利用微软系统攻击客户的证据。 官方声明称：“和其他SolarWinds客户一样，我们一直在积极寻找这个行为者的特征，并可以确认我们在环境中检测到了恶意的SolarWinds二进制文件，我们现在已经对其进行了隔离和删除，但没有发现访问生产服务或客户数据的证据。我们的调查正在进行中，重申绝对没有发现任何迹象表明我们的系统被用来攻击他人。” 微软一直在参与开发针对恶意软件Sunburst的专杀工具，但FireEye警告说，黑客可能已经利用该恶意软件在网络上植入效力更持久的恶意软件，这可能更难检测和消除。         （消息来源：cnBeta；封面来自网络）

微软宣布将从今天开始，强制屏蔽和隔离已知含有 Solorigate（sunburst）恶意软件的 SolarWinds Orion 应用版本。上周末，多家媒体报道称有俄罗斯政府背景的黑客组织入侵了 SolarWinds，并在网络监控和库存平台 Orion 更迭版本中插入了恶意软件。 在新闻曝光之后 SolarWinds 证实，2020年3月至2020年6月期间发布的 Orion 应用版本 2019.4 至 2020.2.1 版本受到恶意软件的污染。在该公司发表官方声明后，微软是最早确认 SolarWinds 事件的网络安全厂商之一。同一天，该公司为 SolarWinds Orion 应用中包含的 Solorigate 恶意软件添加了检测规则。 不过，这些检测规则只能触发警报，Microsoft Defender 用户可以自行决定如何处理 Orion 应用。然而，在今天的一篇简短的博客中，微软表示现在已经决定从明天开始强行将所有 Orion 应用安装文件进行隔离。 微软在博文中写道 ：“从北京时间12月17日0点开始，Microsoft Defender 软件将开始阻止已知的恶意 SolarWinds 安装文件。即便这些进程正在运行中也会将其进行隔离。需要重点注意的是，这些二进制文件对客户环境构成了重大威胁”。       （消息及封面来源：cnBeta）