据外媒 8 月 4 日报道，Microsoft 于 6 月 17 日发布新安全更新程序，再次修复用于传播 Stuxnet 震网蠕虫的 Windows 系统漏洞（CVE-2017-8464）。 Stuxnet 震网蠕虫病毒于 2010 年首次于伊朗可编程逻辑控制器中发现，其主要瞄准 Windows 操作系统攻击工控设备后通过受感染机器肆意传播，从而获取有关系统机密数据。据悉，Microsoft 企图第三次修复该漏洞，但仍未解决 LNK 文件使用属性标识文件夹位置的问题。Microsoft 表示，LNK 文件能够绕过修复程序通过漏洞肆意传播 Stuxnet 蠕虫。 受影响版本包括： ○ 适用于 32 位系统的 Microsoft Windows 10 版本 1607 ○ 适用于基于 x64 系统的 Microsoft Windows 10 版本 1607 ○ 适用于 32 位系统的 Microsoft Windows 10 ○ 适用于基于 x64 系统的 Microsoft Windows 10 ○ 适用于 32 位系统的 Microsoft Windows 10 版本 1511 ○ 适用于基于 x64 系统的 Microsoft Windows 10 版本 1511 ○ 适用于 32 位系统的 Microsoft Windows 10 版本 1703 ○ 适用于基于 x64 系统的 Microsoft Windows 10 版本 1703 ○ 用于 32 位系统 SP1 的 Microsoft Windows 7 ○ 适用于基于 x64 的系统 SP1 的 Microsoft Windows 7 ○ 适用于 32 位系统的 Microsoft Windows 8.1 ○ 适用于基于 x64 系统的 Microsoft Windows 8.1 ○ Microsoft Windows RT 8.1 ○ 用于基于 Itanium 的系统 SP1 的 Microsoft Windows Server 2008 R2 ○ Microsoft Windows Server 2008 R2（用于基于 x64 系统 SP1） ○ 用于 32 位系统 SP2 的 Microsoft Windows Server 2008 ○ 用于基于 Itanium 系统 SP2 的 Microsoft Windows Server 2008 ○ Microsoft Windows Server 2008（用于基于 x64 系统 SP2） ○ Microsoft Windows Server 2012 ○ Microsoft Windows Server 2012 R2 ○ Microsoft Windows Server 2016 据悉，虽然微软此前曾两次尝试修复该漏洞，但未能在 6 月发布补丁以解决问题。卡内基梅隆大学 CERT 协调中心发布咨询报告，指出黑客已发现上述漏洞绕过微软补丁的另一种方法。目前，微软也已证实，该漏洞遭黑客肆意利用。 此外，该报告还指出微软漏洞 CVE-2010-2568 与 CVE-2015-0096 的修复程序并不完善，因为它们未考虑使用 SpecialFolderDataBlock 或 KnownFolderDataBlock 属性指定文件夹位置的 LNK 文件。与此同时，黑客还可通过特制快捷文件执行任意代码。目前，研究人员提醒用户关闭 TCP、UDP 端口 139 与 445 ，以防止黑客再次利用该漏洞传播蠕虫病毒。 ** 感谢 萧瑟@360、隋刚@404 指正 : ） 原作者：Pierluigi Paganini，编译：青楚，校正：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在 WannaCry 和 Petya 等勒索软件肆虐之后，微软建议所有 Windows 10 用户从 PC 上移除漏洞多年的 SMBv1 文件分享协议。这些恶意软件通过网络进行复制、加密用户文件勒索赎金，而 SMBv1 扮演了帮凶的角色。 不过在近日举办的 DEF CON 黑客大会上，又曝出了另一个已经存在 20 年之久的漏洞！RiskSense 安全研究人员将它称作 “ SMBLoris ”，并解释其能够发动拒绝服务（Dos）攻击，感染 Windows 2000 及以上操作系统的任一版本 SMB 协议。 更糟糕的是，黑客只需一台树莓派和 20 行 Python 代码，即可让一台 Windows 服务器跪下。RiskSense 是在分析 EternalBlue 时发现该 SMB 漏洞的（它被认为是最近俄罗软件攻击的源头）。其在今年 6 月份将该漏洞详情告知微软，但该公司回应称不打算修复，一名发言人告诉 Threatpost：“该案例对安全性的影响并不严重，对于有所顾虑的企业客户来说，我们建议其禁用互联网 SMBv1 访问”。 稿源：cnBeta，封面源自网络；

微软已经采取措施削弱俄罗斯联邦格鲁吉亚黑客团伙 Fancy Bear 能力。Fancy Bear 有时与俄罗斯秘密军事情报机构联系在一起，被认为是去年黑掉美国民主党电子邮件账户的主要力量。自 2007 年以来，Fancy Bear 一直在进行网络间谍活动，入侵过北约、奥巴马白宫、法国电视台、世界反兴奋剂机构和无数非政府组织以及欧洲、中亚和高加索地区的军事和民间机构。 美国情报调查结果显示，Fancy Bear 在去年针对民主党全国委员会和希拉里克林顿电子邮件账户的行动，是莫斯科帮助唐纳德 · 特朗普赢得白宫努力的一部分。然而，微软并未利用反黑客人员通过命令提示符代码与黑客进行斗争。其微软一直在慢慢地通过起诉案件，将 Fancy Bear 带入法庭，没收属于 Fancy Bear 的几十个域名。 目前，微软已经设法获得了 70 个原本属于 Fancy Bear 的域名，这些域名曾经用来制造恶意行为，例如在电脑上注入恶意软件，并将虚假信息扩散到社交媒体网站。此外，被微软控制的域名，允许微软在其上设置拦截点，因为 Fancy Bear 的服务器网络将信息中继到现在微软控制的域名和网站，现在微软成为中间人，使其能够在观察外国攻击或黑客攻击的各种计划和行为。 稿源：cnBeta；封面源自网络

安全研究人员于今年 4 月发现网络安全认证协议 Kerberos 存在一处高危漏洞 Orpheus’Lyre（CVE-2017-11103），允许攻击者远程访问目标系统升级权限、窃取用户凭证。7 月 11 日，微软与多家 Linux 供应商联合发布了漏洞补丁。 Kerberos 是一种加密认证协议，其初始密码为大量未经身份验证的明文，这也意味着部分 Kerberos 信息既不加密，也不以某种直接加密方式进行保护。在某些特定情况下，这可能是多数漏洞产生的根源。尽管 Kerberos 协议存在未经身份验证的明文，但它还是极其安全可信的。不过，研究人员需要非常小心地获取每个数据细节，以便对明文进行身份验证。 调查显示，攻击者可利用 Orpheus’Lyre 漏洞直接从未受保护的密钥分配中心（KDC）中获取元数据，该漏洞甚至影响了包括微软与瑞典 KTH 皇家理工学院（Heimdal）在内的不同版本 Kerberos 协议的实施。 研究表明，用户可通过删除未加密字段防止漏洞被利用，以便在合成认证请求时强制使用加密字段。安全专家们也建议用户仔细检查每款 Kerberos 协议的运行，因为并非所有供应商都能预期修复漏洞。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 12 日消息，安全公司 Preempt 专家发现 Windows NTLM 安全协议存在两处关键漏洞，允许攻击者创建新域名管理员帐户、接管目标域名。微软已于本周二补丁日（ 7 月 11 日）发布安全补丁应对漏洞威胁。 NT LAN Manager（NTLM）是 Windows NT 早期版本的标准安全协议。尽管它在 Windows 2000 中已被 Kerberos 取代，但 NTLM 仍受 Microsoft 支持并被多数组织使用。 调查显示，第一处关键漏洞涉及 NTLM 中继器内未受保护的 Lightweight Directory Access Protocol（LDAP）协议，允许攻击者利用系统权限连接 NT LAN 管理器会话、执行 LDAP 操作,包括以管理员身份更新域名对象。即使 LDAP 签名可以保护凭证转发至服务器，但该协议也无法完全防止 NTLM 免遭中继攻击。 第二处 NTLM 漏洞影响 RDP Restricted-Admin 模式，允许攻击者在不提供密码的情况下远程访问目标计算机系统。RDP Restricted-Admin 允许身份验证系统降级至 NTLM，这意味着攻击者可对 RDP Restricted-Admin 执行 NTLM 中继攻击并破解目标系统登录凭证。研究人员称，当管理员连接 RDP Restricted-Admin 时，攻击者可根据该漏洞创建虚假域管理员帐户并控制整个目标域名。 目前，微软并未承认存在 RDP 漏洞，因为他们将其列为可通过网络正确配置解决的“已知问题”。Microsoft 除建议运行 NT LAN Manager 服务器的公司尽快修补漏洞外，还提醒各企业系统管理员关闭 NT LAN Manager 、监测流量异常迹象。此外，专家还要求系统管理员在连接 LDAP 与 SMB 数据包时需要通过数字签名进行检测，以防设备凭证遭受中继攻击。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近期，微软社区爆发大规模讨论，源于 OneDrive 突然提示，仅能在 NTFS 格式的磁盘分区下才能正常使用、创建文件夹。因为 Windows 7/Windows 10/SSD 等产品的普及，目前在硬盘上仍使用老式磁盘分区的比较少，所以此举影响到不少移动介质的备份用户，如 extfat、fat/fat32 格式的 U 盘、SD 卡、移动硬盘等。 虽然 FAT 到 NTFS 已经可以快速无损转换，但是用户的槽点在于，微软在没有做任何事先告知的情况下突然下狠手，让人措手不及。OnMSFT 上，微软发布声明回应，表示 OneDrive 本身没有做任何修改，支持 NTFS 是为保证同步体验，只是忘了向大家提前强调而已。 据悉，FAT 诞生于 20 世纪 70 年代，因为不支持大于 4GB 的单文件、效率较低等已经被 NTFS、ReFS 等取代。当然，NTFS 也即将被 ReFS 格式取代，后者是 Windows 10 专业版、企业版的功能，预计会在不久的将来作为基本特性出现在所有 Windows 10 中。 稿源：cnBeta、快科技，封面源自网络

去年夏天，法国数据保护专员 CNIL 批评微软在 Windows 10 PC 上收集过多的用户数据，并公开命令该公司在三个月内遵守法律。今天，CNIL 发表公开声明，表示对微软根据国家“计算机与自由法”解决这些批评的努力感到满意，并已结束对该公司的“正式通知程序”。 数据保护监督机构表示，微软“减少了遥测服务”基础水平，微软已将 Windows 10 用户数据收集量减半，微软现在将其数据收集限制在维护系统和应用程序运行良好所需数据的最低限度，并确保用户安全。 今年早些时候，微软推出了一系列隐私更改，以提高其在 Windows 10 上数据收集的透明度，并让用户提供更好的控制他们愿意与微软公司共享的数据和类型。这些更改包括一个新的在线隐私控制面板，以及经过修订的 Windows 10 设置体验，并更清楚地说明了其数据采集用途。 虽然 CNIL 认为事情得到解决，但微软在 Windows 10 中的数据收集活动显然仍然受到第 29 工作组的审查，该组织是由欧盟各成员国的数据和隐私管理机构的代表组成。该组织在二月份对 Windows 10 数据收集提出了新的担忧，称微软应明确说明为了什么目的处理哪些个人数据。 稿源：cnBeta.com，封面源自网络

本周早些时候，Petya 勒索软件攻击几乎让每个人都惊奇，全球许多 Windows  电脑瘫痪了，其中大部分是运行 Windows 7 的操作系统。与之前的 WannaCry 勒索软件相比，Petya 勒索软件使用了相同的 SMB 漏洞，并且更复杂一些，但新的证据表明，疫情没有我们想象的那么糟糕。 微软昨天在其Windows安全博客上解释说：Petya 勒索软件是高度复杂的恶意软件，但是我们的遥测结果显示，Petya 勒索软件的受害率远远低于我们的预期，受害电脑数量不到 2 万台电脑。据该公司称，这次袭击事件在乌克兰开始，并且传播到其他国家的电脑上，而且，微软称，受感染的大都是 Windows 7 电脑。微软以前在今年早些时候为这种类型的漏洞发布了一系列补丁。 微软的博客文章还揭示 Petya 勒索软件有趣细节，其中包括 Petya 蠕虫行为的影响受到其设计的限制：首先，Petya 可以传播到其他电脑的执行时间有限。 作为其执行命令的一部分，它仅限与在电脑重新启动系统之前执行传播，此外，微软发现这种蠕虫代码不会在成功重新引导的受感染电脑上再次运行。最后，Petya 会对操作系统的引导代码造成一些损害，但是，在某些具体情况下，仍然有一些启动恢复选项。 总的来说，微软仍然担心这类型的勒索攻击复杂性越来越高，该公司正在敦促消费者和企业将他们的 PC 更新到更安全的 Windows 10。Windows 10 有防御措施可以减轻像 Petya 这样的勒索攻击。本周早些时候，该公司还宣布，下一代安全功能将于今年晚些时候在秋季创作者更新中推出。 稿源：cnBeta，封面源自网络

Google Project Zero 信息安全团队，专门负责寻觅各种软件的安全漏洞，而 Windows 则成为了重点 “ 关照对象 ”。在经历了数次备受争议的漏洞公开事件之后，这支 Google 团队再次披露了 Windows 系统中能够访问内核存储的安全漏洞。该漏洞于今年 3 月份被 Project Zero 团队成员发现，该漏洞同时存在于包括 Google 在内的其他公司软件产品，微软已经于今年六月的补丁星期二活动中进行了修复。 Project Zero 在发现漏洞之后会向软件商报告，并且在 90 天之后完全公布。尽管这次微软在限定时间内对该漏洞进行了修复，但是 Project Zero 团队表示微软并未完全在正确修复。对此，微软承认确实还存在问题。该漏洞允许任何人访问内核存储。在 Windows 系统中 nt!NtNotifyChangeDirectoryFile 子系统中，被报告由于输出机构隐患导致攻击者可以在用户模式下查看和访问未初始化的内存池。 Google 表示这个漏洞能够允许已经获得本地权限的攻击者可以绕过某些漏洞保护措施（Kernel ASLR），并读取内核地址空间的其他分区内容。Google 表示已经提醒微软，Windows 7 到 10 用户依然能够存在这个漏洞。微软有望在下个月的补丁星期二活动中进行修复。截至目前，该漏洞的安全等级已经被标记为 “ 中等 ” （Medium）。 稿源：cnBeta，封面源自网络

美国司法部（DOJ）和微软对存储在外国服务器上数据的争议本周略有上升，前者将问题提交给美国最高法院。2013 年，纽约地区法官命令微软提供正在接受调查的用户个人资料。由于数据存储在爱尔兰，微软拒绝遵守。 微软副总法律顾问霍华德指出，“美国政府没有权力在另一个国家对一个房屋进行搜查，也不应该有权搜索海外电子邮件内容。”去年微软终于解决了这个案子，但司法部不高兴，最近已经采取了一步行动来挑战裁决。 所采取的步骤是质疑 1986 年“电子通信隐私法”（ECPA）第二部分的“存储通信法”（SCA）的实效性，这是微软之前成功打赢电子邮件官司的基石。美国司法部正在试图要求最高法院解释如何将三十年前的法律适用于今天的全球互联网。 不过，美国最高法院林奇法官建议，司法部和国会可以制定出一套全新法律，这对所有人都是有效的，而不是争论过时的法律。我们认为立法之路也适合国家。林奇法官目前认为， 存储在海外的数据，美国政府只有在得到客户同意的情况下才能访问。行政部门反转这些规定会对美国经济中的各个行业造成不利影响。 稿源：cnBeta，封面源自网络