HackerNews 编译，转载请注明出处： 网络安全研究人员发现了微软Azure Data Factory Apache Airflow集成中的三项安全漏洞，这些漏洞若被成功利用，可能使攻击者能够执行多种隐秘操作，包括数据窃取和恶意软件部署。 “利用这些漏洞，攻击者可以获得对整个Airflow Azure Kubernetes Service (AKS)集群的持续访问权限，成为影子管理员，”Palo Alto Networks的Unit 42团队在本月早些时候发布的一份分析报告中指出。 虽然微软将这些漏洞归类为低严重性，但其具体问题包括： – Airflow集群中的Kubernetes RBAC配置错误 – Azure内部Geneva服务的密钥处理配置错误 – Geneva服务身份验证机制薄弱 除未经授权访问外，攻击者还可能利用Geneva服务中的漏洞篡改日志数据或发送虚假日志，以掩盖创建新Pod或账户时的恶意行为。 初始攻击途径涉及创建一个定向无环图（DAG）文件并将其上传至连接到Airflow集群的私人GitHub存储库，或者修改现有的DAG文件。其最终目标是在文件导入后立即启动一个反向Shell连接到外部服务器。 要实现这一点，攻击者首先需要通过利用被攻陷的服务主体或文件的共享访问签名（SAS）令牌获得对存储DAG文件的存储账户的写权限。或者，他们可以通过泄露的凭据攻破Git存储库。 虽然通过这种方式获取的Shell在Kubernetes Pod中以Airflow用户的权限运行，其权限有限，但进一步分析发现了一个与Airflow运行器Pod相关联的集群管理员权限服务账户。 这一配置错误，加上Pod可通过互联网访问，使得攻击者能够下载Kubernetes命令行工具kubectl，最终通过部署特权Pod并突破底层节点，实现对整个集群的全面控制。 攻击者随后可利用主机虚拟机（VM）的Root权限进一步深入云环境，未经授权访问Azure托管的内部资源，包括Geneva服务。部分Geneva服务还授予对存储账户和事件中心的写权限。 “这意味着技术高超的攻击者可以修改一个存在漏洞的Airflow环境，”研究人员Ofir Balassiano和David Orlovsky表示。“例如，攻击者可以创建新的Pod和服务账户，甚至修改集群节点，并向Geneva发送伪造的日志而不会引发警报。” “此问题凸显了严格管理服务权限以防止未经授权访问的重要性，也强调了对关键第三方服务操作进行监控以防止此类访问的必要性。” 此次披露还伴随着Datadog Security Labs的另一发现，即Azure Key Vault中的权限升级场景。攻击者可通过Key Vault Contributor角色读取或修改Key Vault内容，例如API密钥、密码、认证证书和Azure Storage SAS令牌。 问题在于，虽然拥有Key Vault Contributor角色的用户在启用访问策略的Key Vault上无法直接访问数据，但该角色被发现具有添加自身至Key Vault访问策略的权限，从而绕过了权限限制。 “策略更新可能包含列出、查看、更新和全面管理Key Vault数据的能力，”研究人员Katie Knowles解释道。“这导致了一个场景：Key Vault Contributor角色的用户尽管没有[基于角色的访问控制]权限来管理权限或查看数据，但仍可获得所有Key Vault数据的访问权限。” 微软随后更新了其文档，强调访问策略风险：“为了防止未经授权访问和管理您的Key Vault、密钥、机密和证书，必须限制Key Vault Contributor角色对启用访问策略权限模型的Key Vault的访问。” 这一事件发生之际，亚马逊Bedrock CloudTrail日志记录问题也被曝光。该问题使区分针对大语言模型（LLM）的恶意查询与合法查询变得困难，从而允许攻击者进行侦察活动而不引发任何警报。 “具体来说，失败的Bedrock API调用与成功调用记录方式相同，未提供任何特定错误代码，”Sysdig研究员Alessandro Brucato表示。“API响应中缺乏错误信息可能通过在CloudTrail日志中产生误报来阻碍检测工作。没有这些细节，安全工具可能会误将正常活动解读为可疑行为，从而导致不必要的警报并可能忽视真正的威胁。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

昨天（11月25日），微软的多项核心服务（包括 365、Exchange Online、Teams 和 Outlook）再次遭遇全球性的大规模中断，用户随后在社交媒体上报告了一系列问题，如无法发送邮件、网站崩溃及出现错误页面。在事故发生的6小时内，Downdetector已经收到了数千份报告，受影响的用户表示他们还遇到了连接其他服务的问题，包括OneDrive、Purview、Copilot以及Outlook Web和Desktop。 微软承认确实存在该问题，并在 X 平台发布声明称，正在回滚相关变更并调查其他可能的缓解措施。微软同时指出，部分用户在访问 Exchange Online 和 Microsoft Teams 日历功能时遇到障碍，并已在状态页面上列出受影响的服务和使用场景。 这不禁让很多用户再次回忆起“微软全球蓝屏”事件，虽然此次服务中断事件影响远小于“蓝屏事件”，但涉及的服务依然对用户的日常工作和通信产生重大干扰。微软表示，将继续努力解决问题，并确保服务尽快恢复正常。 微软表示，“虽然我们继续努力缓解问题，但已经在更多信息部分添加了受影响的服务和场景的综合列表。” 在管理中心的事件报告中，微软确认该中断阻止客户通过网页版Outlook、Outlook桌面客户端、具象状态传输（REST）和Exchange ActiveSync（EAS）访问Exchange Online。该公司还表示，一些客户可能在Microsoft Fabric、Microsoft Bookings和Microsoft Defender for Office 365中执行操作时遇到问题。 虽然Remond只分享了中断是由“最近的更改”引起的，但微软在故障11个小时后，选择在受影响的基础设施上部署了修复程序，重新启动了受影响的系统。 微软称，“我们已经开始部署修复程序，目前正在受影响的环境中推进。在此过程中，我们开始对一部分处于不健康状态的机器进行手动重启。我们正在监控修复程序的进展，该修复程序已部署到大约60%的受影响环境中。我们正在继续对剩余受影响的机器进行手动重启。” 截止到25日12点33分（ EST ），根据微软的说法，部署的修复程序尚未导致完全的服务恢复。“修复程序已部署90%，根据遥测数据，服务可用性正在恢复。完成修复的预计时间尚不清楚。正在进行目标服务器重启，以解决路由服务问题，优先考虑当前处于工作时间或开始工作日的客户。 ” 18点25分（ EST ），微软分享了此次事件的更多信息，称事故是由“一个导致通过服务器路由的重试请求数量激增的更改引起的，影响了服务可用性。我们的团队正在积极执行后续行动，并将根据需要启动额外的工作流，以完全解决问题。感谢您的耐心，我们将努力恢复全部功能。 ”     转自Freebuf，原文链接：https://www.freebuf.com/news/416161.html 封面来源于网络，如有侵权请联系删除

微软已经确认，上个月的Windows安全更新正在破坏Windows 11 22H2和23H2系统上的SSH连接。 这个新确认的问题影响了企业、物联网(IoT)和教育客户，微软表示，只有“有限数量”的设备受到影响。 微软还在调查使用Windows 11家庭版或专业版的消费者客户是否受到影响。 “在安装2024年10月安全更新后，一些客户报告称OpenSSH（开放安全外壳）服务无法启动，阻止了SSH连接。”公司在10月补丁星期二KB5044285累积更新和KB5044380预览更新的支持文档更新中解释道。 “该服务失败时没有详细的日志记录，需要手动干预才能运行sshd.exe进程。” 在修复可用之前，受影响的客户仍然可以通过更新受影响目录上的访问控制列表(ACL)权限来临时修复这些SSH连接问题，具体步骤如下： 1. 以管理员身份打开PowerShell。 2. 更新“C:\ProgramData\ssh和C:\ProgramData\ssh\logs”文件夹的权限（并对“C:\ProgramData\ssh\logs”重复这些步骤），允许SYSTEM和管理员组完全控制权限，同时允许经过身份验证的用户读取权限。如果需要，你可以通过修改权限字符串来限制特定用户或组的读取权限。 3. 使用以下Powershell脚本更新权限： 微软正在积极寻找解决方案，该方案将通过即将到来的Windows更新推出。 11月9日，公司透露10月补丁星期二更新解决了影响Windows 11 24H2设备的指纹传感器冻结问题。 在指纹问题解决后，还删除了阻止受影响系统上Windows 11 24H2升级的安全防护。 上个月，微软修复了9月预览累积更新中的一个已知问题，该问题阻止一些应用程序在非管理员账户下启动在Windows 10 22H2系统上运行。 还解决了另一个问题，该问题导致安装了7月安全更新后，Windows服务器在企业网络中中断远程桌面连接。     转自E安全，原文链接：https://mp.weixin.qq.com/s/C_1CleTFPGiEOkdGNUe8og 封面来源于网络，如有侵权请联系删除

微软在即将推出的 Windows Server 版本中淘汰了老旧的点对点隧道协议 (PPTP) 和二层隧道协议 (L2TP)，从而在增强 VPN 安全性方面迈出了重要一步。虽然这些协议长期以来一直是 Windows VPN 的组成部分，但微软鼓励用户过渡到更现代、更安全的替代协议： 安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2)。 微软在最近的一份声明中指出：“随着技术的发展，我们的安全协议也必须与时俱进。作为我们提供最高级别安全和性能的持续承诺的一部分，我们将在未来的 Windows Server 版本中淘汰 PPTP 和 L2TP 协议。” 值得注意的是，弃用并不意味着立即删除。 微软澄清说：“被弃用的功能将继续工作并得到全面支持，直到它们被正式移除。我们相信您已经将产品生命周期纳入了您的管理策略。即便如此，弃用通知也可以跨越几个月或几年的时间，以帮助您进行必要的过渡。” 此举并不令人意外，因为 PPTP 和 L2TP 存在安全漏洞已有时日。随着威胁环境的不断变化，这些协议已不再被认为足够强大，能够满足现代安全标准。 微软提倡采用 SSTP 和 IKEv2，理由是它们具有卓越的安全性、性能和可靠性。SSTP 利用 SSL/TLS 加密技术提供安全的通信通道，并能无缝穿越防火墙。IKEv2 拥有强大的加密算法、稳健的身份验证和更高的性能，因此特别适合移动用户。 虽然未来的 Windows Server 版本仍允许使用 PPTP 和 L2TP 进行 VPN 输出连接，但将不再支持基于这些协议的输入连接。这一变化旨在引导用户使用更安全的 VPN 配置。 为了促进平稳过渡，微软提供了有关如何安装和配置 SSTP/IKEv2 以实现 VPN 服务器功能的详细说明。 这一停用标志着 Windows Server VPN 功能的重大转变，它优先考虑安全性并鼓励采用现代协议。通过过渡到 SSTP 和 IKEv2，企业可以确保其网络通信在面对不断变化的网络威胁时保持安全、高效和可靠。     转自安全客，原文链接：https://www.anquanke.com/post/id/300842 封面来源于网络，如有侵权请联系删除

微软的2024年10月补丁周二交付了一系列重要的安全更新，解决了其生态系统中的121个漏洞。这包括三个关键漏洞和114个标记为重要的漏洞，跨越了微软的服务和软件的广泛。 遭受攻击的零日漏洞 本月的补丁包括修复两个已经在野外发现的被积极利用的零日漏洞。其中最令人担忧的漏洞之一是CVE-2024-43573，这是一个Windows MSHTML 平台中的欺骗漏洞。MSHTML，虽然经常与现已退役的Internet Explorer相关联，但仍然会影响遗留系统。虽然微软没有分享详细的利用细节，美国网络安全和基础设施安全局（CISA）已经标记了这个漏洞，敦促用户在2024年10月29日之前修补它。 另一个零日，CVE-2024-43572，是微软管理控制台（MMC）中的远程代码执行（RCE）漏洞。MMC是系统管理员广泛使用的工具，使得此漏洞在企业环境中具有高度的危险性。利用漏洞可以让攻击者获得对Windows系统的未经授权控制权，进一步突出了快速打补丁的重要性。 另外三个公开披露但在攻击中未被利用的零日漏洞是: CVE-2024-43583:Winlogon特权漏洞的提升。攻击者可能利用此漏洞获得对操作系统的SYSTEM级访问权限。 CVE-2024-6197:开源Curl远程代码执行漏洞。成功利用此漏洞需要客户端连接到恶意服务器，这可能允许攻击者在客户端上获得代码执行。 CVE-2024-20659 – Windows Hyper-V安全特性绕过漏洞。攻击者必须先获得对受限网络的访问权限，然后再执行攻击。成功利用此漏洞可能允许攻击者破坏虚拟机管理器和内核。 关键漏洞 除了零天，微软已经解决了三个关键的漏洞，可以允许远程代码执行或特权升级，如果不打补丁。 CVE-2024-43468（CVSS 9.8）：微软配置管理器（ConfigMgr）远程代码执行漏洞。未经身份验证的攻击者可能利用此漏洞在服务器或数据库上执行命令。 CVE-2024-43582:远程桌面协议（RDP）服务器中的一个严重缺陷可能允许攻击者发送恶意数据包，导致在具有与RPC服务相同权限的服务器上执行远程代码。 CVE-2024-43488: Visual Studio Code的Arduino扩展存在一个远程代码执行漏洞，使得攻击者能够绕过关键的身份验证检查。利用此漏洞可以在Arduino扩展中远程执行代码，从而危及用户的开发环境。 Windows核心组件中的漏洞 本月修复的几个漏洞针对的是系统安全不可或缺的关键Windows组件: CVE-2024-43502:一个Windows内核特权提升漏洞，可能允许攻击者在受影响的系统上获得最高级别的访问权限。 CVE-2024-43560:另一个影响Windows存储端口驱动程序的权限升级问题，提供了潜在的SYSTEM级访问。 微软Office和OpenSSH漏洞 10月的更新还解决了Microsoft Office和OpenSSH for Windows中的显著漏洞： UTE-2024-43609：Microsoft Office中的欺骗漏洞可能会在基于Web的攻击中被利用。攻击者可能会在网站上托管恶意文件，或诱骗用户通过电子邮件打开该文件，从而导致潜在的严重后果。 CVE-2024-43581和CVE－2024－43615号文件所列的Microsoft的OpenSSH for Windows的实现中的这些漏洞都是至关重要的，允许远程代码执行时被利用。使用OpenSSH的Windows服务器的管理员应优先考虑这些补丁。 从Windows打印假脱机程序组件到Visual Studio和远程桌面服务，本月的修补程序针对的漏洞几乎跨越微软的每一个主要产品。这包括欺骗、拒绝服务、特权提升和远程代码执行缺陷。值得注意的是，本月早些时候，微软解决了Microsoft Edge（基于铬）中的三个漏洞。 CISA 已将本月修补的零日漏洞 CVE-2024-43573 和 CVE-2024-43572 纳入其已知被利用漏洞目录，强调了立即修补的重要性。CISA建议用户在2024年10月29日之前修补所有零日漏洞和关键漏洞，以避免成为主动的受害者。     转自安全客，原文链接：https://www.anquanke.com/post/id/300639 封面来源于网络，如有侵权请联系删除

微软周二对 Windows Update 中一个严重漏洞的利用发出警报，警告攻击者正在回滚其操作系统某些版本的安全修复程序。 该 Windows 漏洞被标记为CVE-2024-43491，且已被积极利用，其等级为严重，CVSS 严重性评分为 9.8/10。 微软没有提供任何有关公开利用的信息，也没有发布 IOC（入侵指标）或其他数据来帮助防御者寻找感染迹象。该公司表示，该问题是匿名报告的。 根据微软关于该漏洞的文档，表明这是一种系统降级回滚攻击，类似于今年黑帽大会上讨论的 “Windows Downdate”问题。 微软安全公告称： 微软已经意识到服务堆栈中存在一个漏洞，该漏洞可撤销 Windows 10 版本 1507（初始版本于 2015 年 7 月发布）可选组件的一些漏洞的修复。 这个漏洞会导致可选组件（例如 Active Directory 轻量级目录服务、XPS 查看器、Internet Explorer 11、LPD 打印服务、IIS 和 Windows Media Player）回滚到其原始 RTM 版本。 这会导致任何先前已修复的 CVE 被重新引入，然后可被利用。 微软 2024 年 9 月补丁日，提供了包含 79 个漏洞的安全更新，其中包括4个被主动利用的漏洞和一个公开披露的0day漏洞。 本次补丁日修复了7个严重级别漏洞，这些漏洞要么是远程代码执行，要么是权限提升漏洞。 按漏洞性质分类如下： 30 个特权提升漏洞 4 个安全功能绕过漏洞 23 个远程代码执行漏洞 11 个信息泄露漏洞 8 个拒绝服务漏洞 3 个欺骗漏洞 今天的更新中被积极利用的四个0day漏洞是： 1.CVE-2024-38014 – Windows Installer 特权提升漏洞 该漏洞允许攻击者获取 Windows 系统的 SYSTEM 权限。微软尚未透露该漏洞如何遭到攻击的详细信息。该漏洞是由 SEC Consult Vulnerability Lab 的 Michael Baer 发现的。 2. CVE-2024-38217 – Windows Mark of the Web 安全功能绕过漏洞 Elastic Security 的 Joe Desimone上个月公开披露了这一漏洞，据信自 2018 年以来就一直被积极利用。 在报告中，Desimone 概述了一种名为 LNK stomping 的技术，该技术允许使用非标准目标路径或内部结构特制的 LNK 文件打开该文件，同时绕过智能应用程序控制和 Web 标记安全警告。 微软的建议解释说：“攻击者可以制作一个恶意文件来逃避 Web 标记 (MOTW) 防御，从而导致安全功能（如 SmartScreen 应用程序信誉安全检查和/或旧版 Windows 附件服务安全提示）的完整性和可用性受到一定程度的损失。” 一旦被利用，它就会导致 LNK 文件中的命令在没有警告的情况下被执行。 3. CVE-2024-38226 – Microsoft Publisher 安全功能绕过漏洞 Microsoft Publisher 的一个漏洞，该漏洞可以绕过针对下载文档中嵌入宏的安全保护。 微软的建议解释道：“成功利用此漏洞的攻击者可以绕过用于阻止不受信任或恶意文件的 Office 宏策略。” 微软尚未透露是谁披露了该漏洞以及它是如何被利用的。 4. CVE-2024-43491 – Microsoft Windows 更新远程代码执行漏洞 微软修复了一个允许远程代码执行的服务堆栈缺陷。 微软在公告中解释道：“微软已经意识到服务堆栈中存在一个漏洞，并且已经撤销了对影响 Windows 10 版本 1507（初始版本于 2015 年 7 月发布）可选组件的一些漏洞的修复。” 微软尚未透露是谁披露了该漏洞以及它是如何被利用的。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/np5hNqHweHgj2A8yR60WKQ 封面来源于网络，如有侵权请联系删除

近期，由于全球网络安全公司CrowdStrike的软件更新问题，引发了大规模的“蓝屏死机”事件，全球超过850万台设备一度瘫痪。尽管微软和Crowdstrike发布了修复指南和工具，且大多数受影响的微软客户已经恢复正常运作，但许多企业仍在努力恢复其系统功能。其中，亚特兰大总部的达美航空（Delta）仍在艰难地恢复中。 上周五事件爆发时，大多数航空公司，包括使用微软产品进行机组调度系统的达美航空，被迫取消航班并停止其他服务。截止到周日，达美航空取消了额外的1250个航班，而截至本周二，又取消了600个航班。这使得自事件发生以来，达美航空的航班取消总数已超过5000次。不幸的是，达美航空官员尚无法提供恢复正常运营的具体时间表。达美航空CEO埃德·巴斯蒂安（Ed Bastian）在一篇博客文章中表示，此次问题影响了他们运行在Windows操作系统上的主要系统之一。他们的团队正在夜以继日地工作，努力恢复并恢复全部功能。他进一步指出，持续的停运问题归因于“机组跟踪相关工具”无法处理因停运而产生的大量变更。 尽管微软迅速提供了解决方案以恢复服务，但需要手动更新设备——对于拥有成千上万受影响计算机的公司来说，这是一个巨大的挑战。 达美航空的问题也突显了交通基础设施对软件故障的脆弱性，这不仅限于安全漏洞。虽然许多公司都有备份和其他应急措施，但如果有缺陷的代码导致计算机无法启动，这些措施也无济于事。 除了达美航空，其他多个行业和企业也在努力应对这一前所未有的IT危机。一些制造业巨头报告称，其生产线因为关键系统的瘫痪而被迫停工。零售行业的供应链管理系统和支付处理系统也受到严重影响，导致大量订单延迟和交易失败。 尽管微软和CrowdStrike都在加紧努力，以帮助受影响的客户恢复正常运营，但预计完全恢复可能还需要数天甚至数周的时间。专家指出，此次事件再次提醒企业在选择和管理IT基础设施时，必须考虑到潜在的风险和应急预案的完善，“蓝屏死机”事件再次证明，我们的数字社会关键基础设施是何等的脆弱。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/FEVCIwg_5Q7bwGXPKandHA 封面来源于网络，如有侵权请联系删除

近日，研究人员发现了一种名为 HotPage.exe 的新型恶意软件。 这种恶意软件最初是在 2023 年底被检测到的，起初它伪装成了一个安装程序，表面上可以通过阻止广告和恶意网站来改善网页浏览。 但它实际上是将代码注入远程进程并拦截浏览器流量。正如 ESET 在今天早些时候发布的一份公告中所描述的，该恶意软件可以修改、替换或重定向网页内容，并根据特定条件打开新标签。 有趣的是，HotPage.exe 的嵌入式驱动程序是由微软签署的，但却归属于一家另外的公司。由于有关该公司的信息很少，这引起了人们的警惕。该软件向中文用户推销 “网吧安全解决方案”，据称是为了增强浏览体验。 然而，它却将用户重定向到与游戏相关的广告，并收集用户计算机的数据用于统计目的。 2024 年 3 月 18 日，ESET 按照漏洞披露协调流程向微软报告了这一漏洞。微软于 2024 年 5 月 1 日从 Windows 服务器目录中删除了违规驱动程序。此后，ESET将此威胁标记为Win{32|64}/HotPage.A和Win{32|64}/HotPage.B。 进一步调查发现，该公司利用微软的驱动程序代码签名要求，获得了扩展验证（EV）证书。 ESET表示，这说明基于信任的驱动程序签名系统正在被滥用。该公司注册于2022年初，背景不详，其域名dwadsafe.com现已下线。 HotPage 恶意软件的技术细节 从技术角度看，该恶意软件的安装过程包括在磁盘上投放驱动程序、解密配置文件并将库注入基于 Chromium 的浏览器。 该驱动程序通过挂钩基于网络的 Windows API 功能、更改 URL 或打开带有广告内容的新标签来操纵浏览器流量。 该恶意软件的一个关键问题是其内核组件，它无意中允许其他威胁在 Windows 操作系统的最高权限级别执行代码。 这是由于访问限制不足，使得任何进程都能与内核组件通信并利用其代码注入功能。 这种技术对网络安全行业的广泛影响值得注意。恶意软件使用经过签名的合法驱动程序，不仅为侵入性广告软件提供了便利，还使系统面临更多安全风险。 攻击者可以利用这一漏洞获得系统级权限或向进程中注入恶意代码，从而利用对已签名驱动程序的固有信任。 为防范此类威胁，安全研究人员建议定期更新软件，使用全面的安全解决方案，并保持严格的访问控制。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406489.html 封面来源于网络，如有侵权请联系删除

安全研究人员发现了一个严重漏洞 CVE-2024-38021，该漏洞影响大多数 Microsoft Outlook 应用程序。 该零点击远程代码执行 (RCE) 漏洞现已被 Microsoft 修补，并且不需要任何身份验证，这与之前发现的 CVE-2024-30103 不同，后者至少需要 NTLM 令牌。 如果被利用，CVE-2024-38021 可能会导致数据泄露、未经授权的访问和其他恶意活动。微软已将此漏洞评为“重要”，并指出了可信和不可信发件人之间的区别。 对于受信任的发件人来说，该漏洞是零点击的，但对于不受信任的发件人，则需要一键用户交互。 Morphisec 发现了该漏洞，并于 7 月 9 日发布了相关公告，他敦促微软将该漏洞重新归类为“严重”，以反映更高的估计风险并确保采取足够的缓解措施。 该安全公司同意微软的观点，认为此 RCE 比 CVE-2024-30103 更复杂，因此不太可能立即利用。但是，将其与另一个漏洞结合起来可以简化攻击。 事件时间线始于 2024 年 4 月 21 日，当时 Morphisec 向微软报告了该漏洞。该漏洞于 2024 年 4 月 26 日得到确认，并于 2024 年 7 月 9 日由微软作为补丁星期二更新的一部分进行了修补。 为了降低风险，务必使用最新补丁更新所有 Microsoft Outlook 和 Office 应用程序。此外，实施强大的电子邮件安全措施（例如禁用自动电子邮件预览和教育用户了解打开来自未知来源的电子邮件的风险）也至关重要。 此外，Morphisec 表示，通过 EDR 和自动移动目标防御 (AMTD) 确保整个安全堆栈的全面覆盖将进一步降低风险并提供针对已知和未知攻击的端点保证。   转自e安全，原文链接：https://mp.weixin.qq.com/s/i3-QNhKPLcvvnlr-zGHibw 封面来源于网络，如有侵权请联系删除

微软7月补丁日推出大量更新，以修复 Windows 生态系统中的安全漏洞，并警告称攻击者已经在野利用 Windows Hyper-V 权限提升漏洞。 微软在一份公告中表示：“成功利用此漏洞的攻击者可以获得系统权限”，并将 Hyper-V 问题标记为“检测到利用”类别。 编号为CVE-2024-38080的 Windows Hyper-V 漏洞的 CVSS 严重性评分为 7.8/10。 微软没有分享有关观察到的攻击的任何其他细节或任何数据或遥测数据来帮助防御者寻找感染迹象。 另外，微软紧急呼吁关注 Windows MSHTML 平台欺骗漏洞 ( CVE-2024-38112 )，该漏洞也被标记为在野外被利用。 微软表示：“要成功利用此漏洞，攻击者需要在利用之前采取额外措施来准备目标环境。攻击者必须向受害者发送一个恶意文件，受害者必须执行该文件。” 这两个被利用的0day漏洞是微软7月补丁日发布的一大批补丁的重点，补丁修复了 Windows 生态系统中超过 140 个漏洞。在记录的 143 个漏洞中，有 5 个被评为严重，这是微软的最高严重等级。 各个漏洞类别的漏洞数量如下： 26 个特权提升漏洞 24 个安全功能绕过漏洞 59 个远程代码执行漏洞 9 个信息泄露漏洞 17 个拒绝服务漏洞 7 个欺骗漏洞 安全专家敦促 Windows 系统管理员特别注意 Microsoft Office SharePoint 中的一个严重远程代码执行漏洞 – CVE-2024-38023，该漏洞很可能被攻击者利用。 Office SharePoint 漏洞可能允许具有站点所有者权限或更高权限的经过身份验证的攻击者将特制的文件上传到目标 SharePoint 服务器并制作专门的 API 请求来触发文件参数的反序列化。 微软证实：“这将使攻击者能够在 SharePoint Server 的上下文中执行远程代码执行”，并指出具有站点所有者权限的经过身份验证的攻击者可以利用此漏洞注入任意代码并在 SharePoint Server 的上下文中执行此代码。 微软补丁还为 Windows 图像组件和 Windows 桌面远程许可中的严重远程代码执行漏洞提供了保障。 微软发布补丁的同一天，软件制造商 Adobe 也发布了针对 Adobe Premiere Pro、Adobe InDesign 和 Adobe Bridge 产品线安全缺陷的严重性补丁。 Adobe 公司警告称：“成功利用此漏洞可能会导致任意代码执行。”Adobe 组件相关漏洞会影响 Windows 和 macOS 用户。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/GV29d0xTF5b8-c_8JVBt9g 封面来源于网络，如有侵权请联系删除