由于微软操作系统在处理 HEVC 文件方式上存在漏洞，那些使用 Windows 设备的 iPhone 用户在浏览和编辑视频文件的时候存在被黑客远程攻击的风险。该漏洞于上周被发现，存在于微软的 Windows Codecs Library 中，能接管未修复的设备并执行远程代码。美国网络安全和基础设施安全局已于上周五将威胁标记为“威胁”。 与大多数远程攻击媒介一样，用户通过打开特殊设计的有效负载（在本例中为 HEVC 图像文件）来触发任意代码执行。Windows 对编解码器的处理不当，触发了似乎是内存溢出的错误，从而导致系统被入侵并可能进行远程接管。 正如外媒 PC World 所指出的，iPhone 用户特别容易受到这个 Windows 漏洞的影响，尤其是当前手机版本严重依赖 HEVC 进行视频录制。自 iPhone 7以来，Apple就提供了该编解码器，并已成为iOS 11的标准高分辨率视频文件格式。 此外，长期使用 iPhone 的用户可能习惯于接收 HEVC 视频附件或在线查看文件格式，而从微软商城手动下载HEVC或“来自设备制造商的HEVC”编解码器的用户也容易受到攻击。 微软上周发布了该漏洞的补丁。 1.0.32762.0、1.0.32763.0和更高版本被认为可以安全使用，用户可以从公司的在线商店下载。     （稿源：cnbeta；封面来自网络）

网络威胁情报公司Check Point Research在其季度品牌钓鱼报告中强调了黑客模仿最多的品牌，这种伪造页面的钓鱼手法通常会诱使人们交出个人数据或支付凭证。根据该报告，在2020年6月-8月期间，微软是网络犯罪分子最常攻击的品牌。微软从第二季度的第五位飙升至第三季度品牌钓鱼攻击的第一位，占这一时期全球钓鱼攻击总数的19%（从第二季度的7%）。 紧随其后的是DHL和谷歌–两者各占全球所有品牌钓鱼企图的9%，排名前十的其他公司包括PayPal、Netflix、Facebook、苹果、WhatsApp、亚马逊和Instagram。 电子邮件是最主要的攻击媒介，占所有网络钓鱼攻击的44%，紧随其后的是网页钓鱼（43%）。被电子邮件钓鱼攻击利用最多的钓鱼品牌依次是微软、DHL和苹果，被网络钓鱼攻击利用最多的是微软、谷歌和PayPal。 一个最经典的场景是，黑客群发恶意钓鱼邮件，试图通过引诱受害者点击一个恶意链接，将用户重定向到一个欺诈性的微软登录页面，从而窃取微软账户的凭证。 模仿微软的网络钓鱼尝试井喷，是为了利用大量员工因为病毒大流行进行远程工作的机会，很多人都是第一次在家办公，缺乏公司完善的网络安全设施，个人PC在安全防护方面特别脆弱，攻击这些人的计算机有助于渗透到企业内部，犯罪所得利益相应也会最大。     （稿源：cnbeta；封面来自网络）

2020年10月17日，微软发布了两个不定期的例外（Out-of-Band）安全更新，重点修复了 Windows Codecs 库和Visual Studio Code 应用中的安全问题。这两个例外安全更新是本月补丁星期二活动日之后再发布的，主要修复了两款产品中的“远程代码执行”漏洞，能够让攻击者在受影响的设备上远程执行代码。 第一个错误被标记为 CVE-2020-17022。微软表示攻击者可以通过制作含有恶意程序的图像，当 Windows 应用处理该图像的时候能够在未修复的设备上远程执行代码。微软表示对于 Windows Codecs 库的更新将通过 Microsoft Store 自动安装在用户系统中。 并非所有用户都会受到影响，只有安装了 Microsoft Store 可选 HEVC 或“来自设备制造商的HEVC”媒体编解码器的用户才会受到影响。HEVC 不可用于离线 分发，只能通过 Microsoft Store 使用。Windows Server也不支持该库。 第二个错误被标记为 CVE-2020-17023。微软表示，攻击者可以制作恶意的 package.json 文件，当将它们加载到 Visual Studio Code 中时，它们可以执行恶意代码。基于用户的权限，攻击者的代码可以使用管理员特权执行，并允许他们完全控制受感染的主机。Package.json 文件通常与JavaScript库和项目一起使用。     （稿源：cnbeta；封面来自网络）  

  在十月补丁星期二活动发布的 Windows 10 累积更新中，微软增强了对驱动程序软件的验证，防止恶意程序利用易受攻击的硬件驱动程序来危害 Windows 10 计算机。在本次安全性更新中，微软表示如果 Windows 10 无法验证软件开发商，那么系统将阻止用户安装 OEM 或者制造商的驱动程序。 新的驱动认证模型对于安全至关重要，如果微软无法认证该驱动程序，那么在安装过程中就会导致驱动错误。微软表示在所有支持的 Windows 10 系统上，如果驱动程序认证失败就可能会跳出两个错误消息。 第一个错误消息是“ Windows 无法验证该驱动程序软件的发行者”，第二个错误消息是“主题中没有签名”。这两个错误消息均表示 Windows 在驱动程序验证中发现格式不正确的目录文件，并且驱动程序安装将失败。 如果从 OEM 或驱动程序供应商网站安装驱动程序时遇到以上两个错误，微软表示您需要联系制造商并要求他们上载具有适当修复程序的驱动程序。用户只有在应用旧的驱动程序更新时才可能遇到这些问题。由Intel，AMD或Nvidia发行的较新驱动程序已经与Windows 10的新验证模型兼容。     （文章及封面来源：cnBeta）

微软警告称，一种新型手机勒索软件利用来电通知和安卓的Home按钮锁定设备进行勒索。 这一发现涉及到一个名为“MalLocker.B”的安卓勒索软件家族的变体，该软件现在以新技术重新出现，包括在受感染设备上传递赎金需求的新方法，以及逃避安全解决方案的模糊机制。 在这一事态发展之际，针对关键基础设施的勒索软件攻击激增，过去三个月勒索软件攻击的日均次数比上半年增加了50%，攻击者越来越多地将双重勒索纳入他们的行动计划。 MalLocker被称为恶意网站，它通过伪装成流行应用程序、破解游戏或视频播放器等各种诱饵在在线论坛上传播。 以前的勒索软件利用了安卓的可访问性功能或称为“SYSTEM_ALERT_WINDOW”的权限，在所有其他屏幕上显示一个持久的窗口来显示赎金条，通常伪装成假的警方通告或发现图像的警报。 但就在反恶意软件开始检测到这种行为时，新的安卓勒索软件变种已经进化出了克服这一障碍的策略。MalLocker.B通过一种全新的策略来实现同样的目标。 为此，它利用“呼叫”通知来提醒用户来电，以便显示一个覆盖整个屏幕区域的窗口，然后将其与Home或Recents键组合，以将勒索通知触发到前台，并防止受害者切换到任何其他屏幕。 微软称：“触发勒索软件屏幕的自动弹出无需进行无限重绘或假装成系统窗口。” 安全人员还注意到存在一个尚未集成的机器学习模型，该模型可用于在屏幕内不失真地拟合勒索便条图像，这暗示了恶意软件的下一步的发展。 此外，为了掩盖其真实目的，勒索软件代码被严重混淆，并通过篡改名称和故意使用无意义的变量名和垃圾代码来阻止分析，使其无法阅读。 微软365 Defender研究团队称：“这种新的移动勒索软件变种是一个重要发现，因为这些恶意软件表现出以前从未见过的行为，并可能为其他恶意软件打开大门。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软今天宣布，它破坏了Trickbot僵尸网络，这是世界上最臭名昭著的传播勒索软件的僵尸网络之一。自2016年底以来，Trickbot已经感染了超过100万台设备。微软与世界各地的网络运营商合作，拿下了Trickbot的关键基础设施，这样恶意软件运营者将无法再利用这个基础设施来分发恶意软件或勒索软件。 Trickbot不是一个简单的恶意软件，任何免费的反病毒软件都可以检测到，它在受影响的设备中不断进化。 Trickbot是一个多阶段的恶意软件，通常由一个外壳、一个加载器和一个主恶意软件模块组成。外壳使用多个不断变化的模板，旨在通过产生独特的样本来逃避检测，即使主要的恶意软件代码保持不变。 希望了解更多有关勒索软件与僵尸网络的内幕，您可以在微软的相关博客中获取更多资料： https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/     （稿源：cnBeta，封面源自网络。）

随着企业越来越多地迁移到云中，保护基础架构变得前所未有的重要。 根据最新研究，Microsoft Azure应用服务中的两个安全漏洞可能使攻击者能够进行服务器端请求伪造（SSRF）攻击或执行任意代码并接管服务器。 网络安全公司Intezer在今天发布并与《The Hacker News》共享的一份报告中说：“这使攻击者能够悄悄接管App Service的git服务器，或植入可通过Azure门户访问的恶意网络钓鱼页面，以锁定目标系统管理员。” 在Intezer Labs的Paul Litvak发现后，该漏洞已于6月份报告给微软，之后微软对该漏洞进行了解决。 Azure App Service是基于云计算的平台，用作构建Web应用程序和移动后端的托管Web服务。 通过Azure创建应用服务时，将创建一个新的Docker环境，其中包含两个容器节点（管理器节点和应用程序节点），并注册指向应用程序HTTP web服务器和应用程序服务管理页面的两个域，它反过来利用Kudu从源代码管理提供者（如GitHub或bitback）连续部署应用程序。 视频链接：https://www.youtube.com/watch?v=uI0_6OWNbnQ&feature=emb_title 同样，Linux环境中的Azure部署由一个名为KuduLite的服务管理，该服务提供有关系统的诊断信息，并由一个web接口组成，该接口将SSH连接到应用程序节点（称为“websh”）。 第一个漏洞是权限提升漏洞，允许通过硬编码凭据接管KuduLite (“root:Docker!”)这使得SSH能够进入实例并以root用户身份登录，从而允许攻击者完全控制SCM（又名软件配置管理）web服务器。 研究人员认为，这可以使对手“侦听用户对SCM网页的HTTP请求，添加我们自己的页面，并将恶意Javascript注入用户的网页”。 第二个安全漏洞涉及应用程序节点向KuduLite API发送请求的方式，可能允许具有SSRF漏洞的Web应用程序访问节点的文件系统并窃取源代码和其他敏感资产。 研究人员说：“设法伪造POST请求的攻击者可以通过命令API在应用程序节点上实现远程代码执行。” 而且，成功利用第二个漏洞意味着攻击者可以将两个问题联系在一起，以利用SSRF漏洞并提升他们的特权来接管KuduLite Web服务器实例。 就其本身而言，微软一直在努力改善云和物联网（IoT）空间中的安全性。在今年早些时候提供其以安全性为重点的物联网平台Azure Sphere之后，它还向研究人员开放了该服务，以使其能够“识别黑客之前的高影响力漏洞”进入服务。 Intezer说：“云使开发人员能够快速，灵活地构建和部署应用程序，但是，基础架构经常容易受到其控制之外的漏洞的影响。” “对于App Services，应用程序与其他管理容器共同托管，并且其他组件可能带来其他威胁。 “运行时云安全是重要的最后一道防线，也是降低风险的首要措施之一，因为它可以检测恶意代码注入和其他内存中的威胁，这些威胁是在攻击者利用漏洞后发生的。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国每年10月都会举办 “国家网络安全意识月”活动。该活动最早是由国土安全部和国家网络安全联盟在2004年发起的，目的是围绕网络安全和保障建立更多的意识。随着2020年10月的到来，微软也宣布了自己的计划，以促进网络安全的重要性。 在微软安全、合规和身份认证部CVP Vasu Jakkal撰写的一篇博客文章中，这位高管曾表示，由于COVID-19流行病迫使人们在家中的场所进行大部分日常活动，现在对网络安全的需求越来越大。 为此，微软将与Terranova合作，在10月份启动 “Gone Phishing Tournament”，双方将利用诈骗者的真实邮件样本为企业提供数据驱动的见解，以便他们加强各自的网络安全计划。该公司还将围绕网络安全这一主题发表5篇文章，用36种语言进行本地化，涵盖广泛的主题和受众。 微软商店将举办网络安全意识的虚拟研讨会。”与Microsoft 365一起更安全、更智能地工作”和 “与Microsoft Teams一起更好地工作 “研讨会也将分别强调Microsoft 365 Business和Microsoft Teams中存在的在线安全功能。 微软还将更加重视网络安全团队的多元化招聘。Jakkal表示，建立多元化的网络团队是他的主张。这不仅仅是正确的事情，它也带来了作为一个公司的战略优势，有利于对全球威胁行为者的防御。 AI仍然是对抗网络威胁的最佳工具之一。但有效的、负责任的人工智能需要不同群体的投入和想法。这种思想的多样性不仅仅是性别或种族的多样性。当然，这两者都有，但还不止这些。有效的人工智能需要经验、文化、观点、教育、观点和其他许多因素的多样性。在一个团队中，如果每个人都有相似的技能和背景，成员们就有可能陷入群体思维，失去创造力。 确保团队的多样性有助于创建值得人们信任的人工智能系统，同时更接近于未来防止技术中的偏见。微软已经建立了合作伙伴关系，创建了倡议，并建立了透明度，作为我们解决导致女性在网络安全领域代表性低的系统性问题的整体方法的一部分。 你可以通过访问其专门的网络安全网站了解更多关于该公司的努力。     （稿源：cnBeta，封面源自网络。）

早些时候，美国土安全部旗下的网络与基础设施安全局（CISA）发布了有关 Windows Server 操作系统的罕见漏洞警告，因为攻击者可借此来完全控制网络上的每台计算机。此前 CISA 仅假设有黑客正在利用该漏洞，并建议系统管理员尽快部署微软八月发布的补丁更新。然而周四的时候，微软证实其已观察到新的 Windows 漏洞攻击。 作为近期曝光的最严重的 Windows 漏洞之一，按去哪研究人员证实其拿到了 10.0 的严重性评分，促使 CISA 建议所有政府机构、企业和个人立即部署微软几周前发布的修补程序。 由于 Netlogon 远程协议（MS-NRPC）漏洞太过严重，软件巨头还计划在明年初发布第二次更新，以进一步缓解这方面的隐患。 Zerologon 的危险性在于，其允许不怀好意者接管网络上的任何计算机，而无需事先窃取任何登陆凭证。攻击涉及伪造 Netlogon 的身份验证令牌，然后为所有功能敞开大门。 密码验证方案中的缺陷，使得这一切成为了可能。在被授予了度网络的访问权限之后，攻击者或借助其它恶意软件来感染计算机，并从受害设备上提取数据。 微软在本周四发布了有关此事的最新消息，称其正在积极追踪利用 CVE-2020-1472 Netlogon EoP 漏洞（简称 Zerologon）的活动，并表示已观察到有攻击者在具体实施中掺入了其它漏洞攻击。 KrebsOnSecurity 指出，该漏洞影响大多数受支持的 Windows Server 版本（从 2008 到 2019）。遗憾的是，尽管已经收到了 CISA 的警告，也不是每个人都能对其网络进行修补。 大多数 Windows 用户甚至对补丁不加理会，因而在管理员对网络进行修补之前，各企业单位和政府机构都将成为 Zerologon 攻击的潜在目标。     （稿源：cnBeta，封面源自网络。）

系统管理员认为，除非软件更新是专门修复安全漏洞，那么不要在更新出来之后立即安装。就 Windows 更新而言，更是如此。不过推荐用户还是尽快安装今年8月补丁星期二发布的累积更新，因为它修复了严重的 Zerologon 安全漏洞。 在8月的补丁星期二活动日中，微软修复了编号为 CVE-2020-1472 的安全漏洞，这可能是历史上最严重的漏洞之一。攻击者可以利用该漏洞接管企业网络中当作域控制器运行的Windows Servers，可以一键成为Domain Admin。 虽然该漏洞的CVSS 评分为满分10分，但细节从未公开过，也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。 Netlogon 是 Windows 上一项重要的功能组件，用于用户和机器在域内网络上的认证，以及复制数据库以进行域控备份，同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。 通过伪造用于特定 Netlogon 功能的身份验证令牌，他能够调用一个功能以将域控制器的计算机密码设置为已知值。之后，攻击者可以使用此新密码来控制域控制器并窃取域管理员的凭据。     （稿源：cnBeta，封面源自网络。）