近日，一些网络安全研究人员演示了恶意软件是如何成功窃取 Windows Recall 工具收集到的数据。 微软 Recall 功能是一种人工智能驱动的工具，旨在帮助用户搜索电脑上过去的活动，该工具收集的数据在本地存储和处理。工具推出后，鉴于其扫描并保存电脑屏幕的定期截图，有可能暴露敏感数据，例如密码或财务信息等，引起了网络安全专家对其安全和隐私的担忧。 随着这一事件的发酵，微软方面一直在试图淡化用户面临的安全风险。该公司指出，黑客需要物理访问权限才能获取 Recall 工具收集的数据。不过，微软的回应就遭到了”打脸“，多名网络安全研究人员成功验证恶意代码可以窃取 Windows Recall 工具收集到的数据。 著名网络安全专家 Kevin Beaumont 表示，黑客能够使用恶意软件远程访问运行 Recall 的设备。 当用户登录电脑并运行软件时，一切都会自动解密，静态加密只有在有人到用户家中偷走笔记本电脑时才会有用（黑客犯罪可不是这么干）。自动窃取用户名和密码的 InfoStealer 木马十多年来一直是行业内的大麻烦，目前这些木马仍然可以被轻松修改，以”支持“ Recall。 值得一提的是，微软方面表示，公司内部的工具捕获的信息是高度加密的，没有人可以非法访问这些数据信息。对此， Kevin Beaumont 很快就指出微软的说法是假的，并公布了一段视频，视频中两名微软工程师访问了包含图片的文件夹。 演示视频地址：此处 网络安全研究人员 Alex Hagenah 发布了一款名为 “TotalRecall ”的 PoC 工具，可以自动提取和显示 Recall 在笔记本电脑上捕获并保存到数据库中的快照。Hagenah 声称，数据库没有被加密的，全是纯文本。 Hagenah 进一步表示，Windows Recall 将所有内容都存储在本地未加密的 SQLite 数据库中，截图只是保存在 PC 上的一个文件夹中，可以在下面的路径中查看： C:\Users\$USER\AppData\Local\CoreAIPlatform.00\UKP\{GUID} 所有图像都存储在以下子文件夹中 .\ImageStore\ 研究人员 Marc-André Moreau 强调，信息窃取型恶意软件可以从本地 SQLite 数据库中轻松窃取远程桌面管理器中暂时可见的密码，这些密码都会被 Recall 工具捕获。 演示视频地址：此处 最后， Kevin Beaumont 在其研究报告中指出，微软方面此时应该立刻召回 Recall ，并在后续的更新中解决安全隐患。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402814.html 封面来源于网络，如有侵权请联系删除

微软强调了保护暴露在互联网上的运营技术 (OT) 设备的必要性，自 2023 年底以来，针对此类环境发生了一系列网络攻击。 微软威胁情报团队的报告表示：“针对 OT 设备的反复攻击凸显了改善 OT 设备安全态势的迫切需要，并防止关键系统成为易受攻击的目标。” 该公司指出，对 OT 系统的网络攻击可能允许攻击者篡改工业过程中使用的关键参数，无论是通过可编程逻辑控制器 (PLC) 以编程方式还是使用人机界面 (HMI) 的图形控件，都会导致故障和系统中断。 微软进一步表示，OT 系统通常缺乏足够的安全机制，这使得它们很容易被攻击者利用并发起“相对容易执行”的攻击，而将 OT 设备直接连接到互联网所带来的额外风险则加剧了这一事实。 这不仅使得攻击者可以通过互联网扫描工具发现这些设备，而且还可以利用弱登录密码或具有已知漏洞的过时软件来获取初始访问权限。 上周，罗克韦尔自动化发布了一份咨询报告，敦促其客户断开所有不打算连接到互联网的工业控制系统 (ICS)，原因是“全球地缘政治紧张局势加剧了对抗性网络攻击活动”。 美国网络安全和基础设施安全局（CISA）也发布公告，警告亲俄黑客将目标对准北美和欧洲易受攻击的工业控制系统。 “具体来说，亲俄黑客分子操纵了 HMI，导致水泵和鼓风机设备超出了正常运行参数。”该机构表示。“在每起案件中，黑客分子都会将设定点调到最大，更改其他设置，关闭警报机制，并更改管理密码以锁定 WWS 操作员。” 攻击者在其 Telegram 频道发布的受害者系统的示例图像 微软进一步表示，2023 年 10 月以色列与哈马斯战争的爆发导致针对以色列公司开发的、暴露在互联网上、安全性较差的 OT 资产的网络攻击激增，其中许多攻击是由与伊朗有关的组织（如Cyber Av3ngers、所罗门士兵和 Abnaa Al-Saada）进行的。 微软表示，这些攻击针对的是部署在以色列不同地区的由国际供应商制造的 OT 设备，以及从以色列采购但部署在其他国家的设备。 这些 OT 设备“是暴露在互联网上的 OT 系统，安全态势较差，可能存在弱密码和已知漏洞”。 为了减轻此类威胁带来的风险，微软建议组织确保其 OT 系统安全，特别是通过减少攻击面和实施零信任实践来防止攻击者在受感染的网络中横向移动。 与此同时，OT 安全公司 Claroty 发现了一种名为 Fuxnet 的破坏性恶意软件，据称，Blackjack 黑客组织利用该恶意软件攻击了俄罗斯公司 Moscollector，该公司维护着一个大型传感器网络，用于监测莫斯科的地下水和污水处理系统，以便进行紧急情况检测和响应。 BlackJack于上个月初分享了此次攻击的细节，将 Fuxnet 描述为“强化版的Stuxnet ”，Claroty 指出，该恶意软件很可能通过端口 4321 使用 SSH 或传感器协议 (SBK) 等协议远程部署到目标传感器网关。 Fuxnet 具有不可逆转地破坏文件系统、阻止对设备的访问以及通过不断写入和重写内存来物理破坏设备上的 NAND 内存芯片的功能，以使其无法运行。 最重要的是，它旨在重写 UBI 卷以防止传感器重新启动，并最终通过发送大量虚假的Meter-Bus (M-Bus) 消息来破坏传感器本身。 Claroty 指出：“攻击者开发并部署了针对网关的恶意软件，删除了文件系统和目录，禁用了远程访问服务、每个设备的路由服务，重写了闪存，破坏了 NAND 内存芯片和 UBI 卷，并采取了其他进一步破坏这些网关运行的操作。” 根据俄罗斯网络安全公司卡巴斯基本周早些时候分享的数据，互联网、电子邮件客户端和可移动存储设备成为 2024 年第一季度组织 OT 基础设施中计算机的主要威胁来源。 “攻击者使用脚本来实现各种目的：收集信息、跟踪、将浏览器重定向到恶意网站以及将各种类型的恶意软件（间谍软件和/或静默加密挖掘工具）上传到用户的系统或浏览器。” 卡巴斯基的报告称，“这些恶意软件通过互联网和电子邮件传播。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/1nFa7a6suM52xQym1IFAAQ 封面来源于网络，如有侵权请联系删除

当电脑有了像素级“记忆”，知道你看过的一切，做过的一切，不再有“阅后即焚”，可能意味着一场地狱级的隐私灾难。 近日，作为新发布的人工智能电脑“Copilot+PC”的最大亮点，微软在Build大会上发布了一个名为“回忆”（Recall）的新AI功能，可记住用户在电脑上的所见所为并智能检索回溯，引发了全球用户的广泛关注甚至恐慌。 尽管微软声称“回忆功能”记录的数据经过加密并存储在本地，但该功能仍然引起了大量用户对隐私问题的担忧。特斯拉创始人马斯克更是在X上发推文怒斥Windows的回忆功能堪比《黑镜》中的恐怖技术，必须关闭。 全程录屏的“回忆功能” 与常见的基于时间线和数据历史版本的回滚和恢复不同，“记忆功能”提供一种类似录屏的“视觉记忆”，允许Windows 11用户搜索和检索他们在PC上的所有历史活动（包括你的所有操作和屏幕历史截图）。 根据微软官网介绍，“回忆功能”利用了Copilot+PC人工智能电脑的高级处理能力，每隔几秒钟对用户的活动屏幕进行一次截图。这些截图被加密后存储在用户PC的硬盘上，用户可以通过搜索或时间线滚动来定位和查看这些内容。 “回忆功能”有些类似Windows 10中的时间线功能（该功能已在2021年停止），但“回忆功能”增加了持续截图（类似录屏）的功能。这方面，“回忆功能”与Mac第三方应用Rewind有许多相似之处，Rewind同样记录用户活动以供稍后回放。 除了视觉记忆外，“回忆功能”一个重要卖点是可以帮助用户快速找到特定时间段内的历史信息，提供相应的上下文，还支持通过AI功能对会议记录和观看过的视频进行转录和翻译。 更为“恐怖”的是，借助微软的人工智能助手，用户只需要通过语言描述（提示），就可以找到在屏幕中出现过的，用户自己都没注意的信息（例如滚动电商网站列表页一闪而过的某款棕色手提包，直播视频中某个人物的特写）。通常，如果一个页面或会话窗口被关闭，且用户没有收藏或者截图的话，这类信息很难被定位和回溯。 目前阶段，用户使用Windows的“回忆功能”有一定硬件配置要求。用户需购买搭载高通Snapdragon X Elite芯片并配备神经处理单元（NPU）的Copilot+PC，最低配置为256GB硬盘空间和50GB可用空间。 默认情况下，256GB设备的“记忆功能”需要分配的存储空间为25GB，可存储约三个月的截图。用户可以在PC设置中调整存储分配，当分配的存储空间满时，旧的截图将被删除。 微软表示，Recall目前处于预览阶段，正在收集用户反馈，开发更多企业客户管理和控制“回忆数据”的功能，并改进用户体验。 隐私与信息安全的一场灾难？ 表面上，“回忆功能”为用户提供了方便的回溯工具，但深入了解后，人们对其可能带来的隐私问题（以及信息安全和版权保护问题）提出了质疑。因为“记忆功能”如同为PC提供了“全程录屏记忆”，用户可以通过本地大语言模型查询在PC上所做的一切，看到的一切。 通过时间线滚动，用户可以找到（任何）应用程序、网站或文档的（截屏）内容，并基于识别的内容建议相应的操作，例如用户可以轻松返回到Outlook中的特定邮件界面或聊天软件中的聊天记录。 一些安全专家认为，这可能意味着严重的隐私和数据安全隐患。任何拥有你Windows账户访问权限的人都可以利用“回忆功能”查看你最近在PC上所做的一切，这不仅涉及隐私问题，还可能威胁到记者或情报人员的生命安全。 尽管存在隐私问题，微软坚称“回忆功能”依赖于设备上的个人语义索引，所有数据都存储在本地设备上，不会发送到微软服务器。 微软的Yusuf Mehdi在一份声明中表示：“Recall截图仅与特定用户档案相关联，不会与其他用户共享，也不会供微软查看或用于广告定位。截图仅对登录设备的用户本人可见。你的截图是你的，它们保存在你的PC上。你可以删除单个截图，调整和删除设置中的时间范围，或随时从任务栏系统托盘图标暂停该功能。”。 微软表示，用户可以暂停、停止或删除AI捕获的内容，还可以排除特定的应用程序或网站。“回忆功能”不会对Microsoft Edge中的InPrivate浏览会话或受DRM保护的内容进行截图。 尽管微软声明这些数据不会被传输到他们的服务器，但仍有安全专家担心这些包含高度敏感隐私数据的记录在本地如何确保安全。以及一旦威胁行为者获得设备的本地访问权限，是否能够访问这些数据并将其发送到远程计算机进行离线分析，进而获取敏感数据？ 最后，安全专家建议用户在选择微软Windows的“记忆功能”时权衡便利性与隐私风险。尽管“记忆功能”为用户提供了强大的“过目不忘”的回溯功能，但其潜在的巨大隐私风险也不容忽视。对于高度重视隐私的用户，特别是涉及敏感信息的工作者，需谨慎评估这一功能的使用。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16404.html 封面来源于网络，如有侵权请联系删除

近日微软宣布将于 2024 年下半年开始弃用 VBScript，可能会先把该功能列为按需功能，后面会逐步删除。 按需功能（FOD）是可选的 Windows 功能，如 .NET Framework (.NetFx3) 、Hyper-V、Windows Subsystem for Linux，默认情况下不安装，但可根据自身需要添加。 微软项目经理 Naveen Shankar表示：多年来，技术不断进步，出现了 JavaScript 和 PowerShell 等功能更强大、用途更广泛的脚本语言。这些语言提供了更广泛的功能，也更适合现代网络开发和自动化任务。 因此，在2024年下半年发布的新操作系统中，VBScript 将以按需提供功能（FOD）的形式提供。随着微软向更高效的 PowerShell 体验过渡，该功能将从未来的 Windows 操作系统版本中完全“退役”。 微软的停用计划包括三个阶段： 第一阶段将从 2024 年下半年开始，在 Windows 11 24H2 中默认启用 VBScript 作为可选功能； 第二阶段将于 2027 年左右开始，VBScript 仍将作为按需功能提供，但将不再预装； 作为淘汰过程第三阶段的一部分，VBScript 将在未来的 Windows 版本中退役和淘汰。 因此，所有 VBScript 动态链接库（.dll 文件）都将被删除，使用 VBScript 的项目也将停止运行。 VBScript 过时时间表 该公司在 10 月份首次透露，在作为系统组件提供了 30 年之后，它将在 Windows 中关闭 VBScript（又称 Visual Basic Script 或 Microsoft Visual Basic Scripting Edition）。 这种编程语言通常捆绑在 Internet Explorer 中（部分 Windows 10 版本将于 2023 年 2 月禁用），同时有助于使用 Windows Script 自动执行任务和控制应用程序。 微软在 Windows 10 的 Internet Explorer 11 中默认禁用了 VBScript，并在 2019 年 7 月的 “补丁星期二 “累积更新中禁用。 不过这只是微软移除黑客用作攻击载体的 Windows 和 Office 功能战略的一部分，最终目的主要还是为了让用户免于感染恶意软件。 此前攻击者就在在恶意软件活动中使用了 VBScript，传播了 Lokibot、Emotet、Qbot 等病毒，以及 DarkGate 恶意软件。 微软的这个战略最早可以追溯到 2018 年，当时雷德蒙德将对其反恶意软件扫描接口（AMSI）的支持扩展到了 Office 365 客户端应用程序，从而遏制了利用 Office VBA 宏的攻击。 从那时起，微软就禁用了Excel 4.0 (XLM)宏，强制默认阻止VBA Office宏，引入XLM宏保护，并开始在全球Microsoft 365租户中默认阻止不受信任的XLL插件。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401655.html 封面来源于网络，如有侵权请联系删除

近日，微软威胁情报团队表示，一个名为 Storm-1811 的黑客正在滥用客户端管理工具 “快速助手”（Quick Assist），针对用户展开社交工程攻击。 Quick Assist 是微软公司推出的一款合法应用程序，允许用户通过远程连接与他人共享自己的 Windows 或 macOS 设备，主要用于排除系统中的技术问题，默认安装在运行 Windows 11 的设备上。 2024 年 5 月 15 日，微软威胁情报团队在发布的一份报告中指出，Storm-1811 是一个以部署 Black Basta 勒索软件而闻名的有经济动机的网络犯罪团伙。 黑客冒充安检人员 研究人员经过详细分析得出了黑客的攻击链，首先通过网络钓鱼实施社会工程学攻击，诱骗毫无戒心的受害者安装远程监控和管理（RMM）工具，然后发送 QakBot、Cobalt Strike，最终发送 Black Basta 勒索软件。 整个过程中，黑客滥用微软’快速助手’功能来实施社会工程学攻击。例如，伪装成受信任的联系人，例如微软技术支持或目标用户所在公司的 IT 专业人员，以获得对潜在攻击目标设备的初始访问权限。 黑客一开始会想方设法掌握一批受害者的数据信息，此后便向受害者邮箱发送大量垃圾邮件，完成一系列操作后，拨打受害者电话冒充安全公司声称“能够提供协助”，诱骗用户使用系统内置的远程管理软件与其展开通信，以便更进一步侵入用户设备。 为了使网络攻击更有说服力，黑客还会发起链接列表攻击（一种电子邮件轰炸攻击）这时候，受害目标电子邮件地址会注册各种合法的电子邮件订阅服务，导致其收件箱充斥着订阅的内容。然后，黑客伪装成公司的 IT 支持团队，给受害目标用户打电话，声称可以帮助他们解决垃圾邮件问题，并说服他们通过 “快速协助”（Quick Assist）授权访问他们的设备。 一旦用户允许访问和控制，黑客就会运行脚本化的 cURL 命令，下载一系列批处理文件或 ZIP 文件，用于发送恶意有效载荷，在受害者整个网络中部署 Black Basta 勒索软件。微软方面表示，公司的完全团队正在密切关注滥用 “快速助手 “的情况，并正在努力在软件中加入警告信息，以通知用户可能存在的技术支持诈骗，防止诈骗可能会为勒索软件的传播提供便利。 网络安全公司 Rapid7 指出，”快速助手“滥用活动始于 2024 年 4 月中旬，目标涉及包括制造业、建筑业、食品饮料业、银行业以及运输业等多个行业和垂直领域，实施此类攻击的门槛相对很低，再加上这些攻击对受害者造成的重大影响，具有很强的破坏力、以及广泛的受影响范围，给威胁攻击者通过部署勒索软件敛财提供了新思路。 自 2022 年 4 月 出道以来，Black Basta 勒索软件团伙与其它勒索软件组织一样，主要通过实施双重勒索攻击，获取赎金。从 Elliptic 和 Corvus Insurance 发布的联合研究结果来看， Black Basta 自推出以来，累计感染了超过 329 名受害者。 值得注意的是，安全研究人员通过分析区块链交易，发现 Black Basta 与 Conti 勒索软件团伙之间貌似存在着明显的联系，2022 年，Conti 勒索软件团伙停止了攻击活动，差不多同一时间 Black Basta 组织开始活跃。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401225.html 封面来源于网络，如有侵权请联系删除

微软推出最新的安全更新，解决了各种软件产品中的大约 60 个漏洞，并呼吁紧急关注多个外部威胁追踪团队报告的一个被积极利用的0day漏洞。 本月修复的安全漏洞分类如下： 17个特权提升漏洞 2个安全功能绕过漏洞 27个远程代码执行漏洞 7个信息泄露漏洞 3个拒绝服务漏洞 4个欺骗漏洞 标记为CVE-2024-30051的0day漏洞被记录为 Windows 桌面窗口管理器 (DWM) 核心库中基于堆的缓冲区溢出，该漏洞已在需要提升系统权限的恶意软件攻击中被利用。 该漏洞的 CVSS 严重性评分为 7.8/10，并且被 Redmond 评为“重要”。 桌面窗口管理器是 Windows Vista 中引入的一项 Windows 服务，允许操作系统在渲染玻璃窗框架和 3D 过渡动画等图形用户界面元素时使用硬件加速。 卡巴斯基安全研究人员在调查另一个 Windows DWM 核心库权限提升漏洞（编号为CVE-2023-36033）时发现了该漏洞，该漏洞也被用作攻击中的0day漏洞。 在梳理与最近的漏洞和相关攻击相关的数据时，他们偶然发现了一个于 2024 年 4 月 1 日上传到 VirusTotal 的有趣文件。该文件的名称暗示它包含有关 Windows 漏洞的详细信息。 正如他们所发现的，该文件提供了有关 Windows 桌面窗口管理器 (DWM) 漏洞的信息（以蹩脚的英文），该漏洞可被利用来将权限升级到 SYSTEM，其中概述的利用过程完美地反映了 CVE-2023-36033 攻击中使用的过程，尽管它描述了一个明显的漏洞。 尽管该文档质量不佳，并且在如何利用该漏洞方面存在一些遗漏，但卡巴斯基确认 Windows DWM 核心库中存在新的0day特权升级漏洞。Microsoft 分配了 CVE-2024-30051 CVE 编号并在本月的补丁日修补了该漏洞。 卡巴斯基表示：“在将我们的发现发送给微软后，我们开始密切监控我们的统计数据，以寻找利用这个0day漏洞的攻击，在四月中旬我们发现了野外利用。” “我们看到它与 QakBot 和其他恶意软件一起使用，并相信多个攻击者组织可以访问它。” 谷歌威胁分析小组、DBAPPSecurity WeBin 实验室和谷歌 Mandiant 的安全研究人员也向微软报告了该0day漏洞，指出该漏洞可能在恶意软件攻击中被广泛利用。 QakBot（也称为Qbot）始于 2008 年，最初是一种银行木马，用于窃取银行凭证、网站 cookie 和信用卡以实施金融欺诈。随着时间的推移，QakBot 演变成一种恶意软件交付服务，与其他黑客组织合作，为勒索软件攻击、间谍活动或数据盗窃等攻击活动提供对企业和家庭网络的初始访问。 执法部门将 QakBot 与至少 40 起针对全球公司、医疗保健提供商和政府机构的勒索软件攻击联系起来，据保守估计，这些攻击造成了数亿美元的损失。 多年来，Qakbot 一直是各种勒索软件团伙及其附属机构的初始感染媒介，包括 Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex 以及最近的Black Basta。 其他需要重点关注的漏洞 微软还将CVE-2024-30040标记为已被利用的类别，警告攻击者正在绕过 Microsoft 365 和 Office 中的安全功能。该漏洞的 CVSS 评分为 8.8，如果用户欺骗加载恶意文件，攻击者就可以执行任意代码。 “此漏洞绕过了 Microsoft 365 和 Microsoft Office 中的 OLE 缓解措施，这些缓解措施可保护用户免受易受攻击的 COM/OLE 控件的侵害。成功利用此漏洞的未经身份验证的攻击者可以通过说服用户打开恶意文档来获得代码执行权限，此时攻击者可以在用户的上下文中执行任意代码。”微软表示。 微软还敦促 Windows 管理员关注CVE-2024-30044，这是 Microsoft Sharepoint 中的一个严重级别的远程代码执行漏洞。 微软安全响应中心警告说：“具有站点所有者权限的经过身份验证的攻击者可以利用该漏洞注入任意代码并在 SharePoint Server 上下文中执行此代码。” “具有站点所有者或更高权限、经过身份验证的攻击者可以将特制文件上传到目标 Sharepoint Server，并制作专门的 API 请求来触发文件参数的反序列化。这将使攻击者能够在 Sharepoint Server 的上下文中执行远程代码。”微软补充道。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Y19DBCGlm-A79RFJ7Q18qg 封面来源于网络，如有侵权请联系删除

微软已确认，上月发布的 Windows Server 安全更新可能会导致本地安全机构子系统服务（LSASS）进程崩溃，从而重新启动域控制器。 LSASS 是 Windows 的一项用于处理安全策略、用户登录、访问令牌创建和密码更改等任务的服务。 受影响的 Windows 版本和错误安全更新列表包括 Windows Server 2022（KB5036909）、Windows Server 2019（KB5036896）、Windows Server 2016（KB5036899）、Windows Server 2012 R2（KB5036960）、Windows Server 2012（KB5036969）、Windows Server 2008 R2（KB5036967）和 Windows Server 2008（KB5036932）。 微软解释：“在极少数情况下，运行域控制器（DC）角色的 Windows 服务器可能会因为本地安全机构子系统服务（LSASS）崩溃而重新启动。”这一情况已添加到 Windows 版本运行状况仪表板的最新更新中。 为解决由于 LSASS 内存泄漏而导致的其他 Windows Server 崩溃问题，微软发布了紧急带外（OOB）更新，这是在安装了 2024 年 3 月的 Windows Server 安全更新后出现的。 此前，微软已在 2022 年 12 月和 2022 年 3 月解决了其他 LSASS 崩溃问题，这些问题曾被认为是域控制器重新启动的原因。 NTLM 认证失败和 VPN 的问题 微软此前已经确认，2024年4月的Windows安全更新还会导致NTLM认证失败和受影响域控制器的负载增加。 此外，Windows平台跨客户端和服务器的用户也受到VPN连接失败的影响。 微软尚未告知该影响的具体原因，目前仍在努力修复中。建议中小型和大型企业客户通过“Support for Business”联系微软，家庭用户可使用Windows “Get Help”应用获得帮助。 在微软发布修复程序之前，目前没有官方解决方案。但是，您仍然可以通过卸载安全问题更新来暂时解决这些已知问题。 微软表示：“将LCU包名称作为参数的情况下使用DISM/Remove-Package命令行选项，这样就可以在安装组合的SSU和LCU包之后移除LCU。可以使用DISM /online /get-packages 命令查找包名称。” 值得注意的是，Redmond在周二补丁更新中也囊括了安全修复；因此，为了解决域控制器、NTLM和VPN的问题而移除2024年4月的更新同时也会清除所有安全漏洞的修复程序。   消息来源：bleeping computer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

微软表示，美国情报机构现在可以安全地利用这项强大技术（ChatGPT）来分析绝密信息。 如何将ChatGPT这样的顶流人工智能技术安全地武器化，供情报机构和军队使用？微软给出的答案是“物理隔离”。 提示注入攻击和训练数据泄露是包括ChatGPT在内的当前主流大语言模型面临的主要安全威胁，也是政府和军队将其武器化的主要障碍（虽然今年1月份OpenAI悄悄修改使用政策，默许军方和情报部门使用）。例如，美军已经禁止在内部使用ChatGPT之类的工具，因为担心军事机密可能被泄露或提取。 据彭博社报道，微软公司近日打破常规，首次部署了一款与互联网完全隔离的生成式AI模型。微软表示，美国情报机构现在可以安全地利用这项强大技术（ChatGPT）来分析绝密信息。 微软的一位高管称，这是大语言模型首次完全脱离互联网运行。包括OpenAI的ChatGPT等大多数AI大语言模型都依赖云服务来学习和推理数据模式，但微软希望为美国情报界提供一个真正安全的系统。 世界各地的间谍机构都渴望利用生成式AI来帮助他们理解和分析每天生成的大量机密信息，但同时又面临着数据泄露或遭到网络攻击的风险。微软战略任务和技术首席技术官William Chappell表示，微软已将基于GPT-4的模型及其关键支持元素部署到一个与互联网隔离的“物理隔离”的（私有）云环境中。 美国情报机构官员曾多次明确表示渴望获得与当今主流生成式AI功能同样强大的工具，这类工具有望彻底改变传统情报工作。去年，美国中央情报局(CIA)在非密级层面推出了类似于ChatGPT的服务（编者：五角大楼甚至用ChatGPT撰写官网博客），但情报界需要能够处理更敏感数据的工具。 上个月，美国中情局跨国和技术任务中心助理主任Sheetal Patel在范德堡大学的一次安全会议上告诉与会代表：“获取用于处理情报数据的生成式AI是一场竞赛。”她表示：“率先将生成式AI用于情报工作的国家将赢得这场竞赛，我希望是我们。” 微软在过去18个月里一直致力于该系统的开发，包括对爱荷华州一台AI超级计算机进行改造。参与该项目的电气工程师Chappell此前曾为国防高级研究计划局（DARPA）开发微系统，他表示其团队在2022年开始这项工作时并不确定该如何去做。 Chappell告诉彭博社：“这是我们第一次拥有一个‘孤立’的ChatGPT版本，这里的孤立意味着它不连接互联网，而是位于一个特殊网络上，只有美国政府才能访问。” 放置在云端的GPT-4模型是静态的，这意味着它可以读取文件，但不能从中学习，也不能从开放互联网中学习。Chappell表示，通过这种方式，政府可以保持模型的“干净”，并防止秘密信息被平台吸收。“你不希望它学习你提出的问题，然后以某种方式泄露这些信息，”Chappell透露：“理论上该AI模型支持大约1万人访问。” 据悉，该服务已经于上周四上线，情报界正在对其进行测试和认证。Chappell表示：“该系统已经部署，正在回答问题，可以编写代码，这只是它能做的事情的一部分。” 美国中央情报局和国家情报总监办公室(负责监督美国18个情报机构)没有立即回应媒体的置评请求。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16306.html 封面来源于网络，如有侵权请联系删除

微软推出了一套安全DNS框架——零信任DNS(ZTDNS)，企业可在Windows网络内部锁定域名解析。 微软的零信任DNS能否破除困扰企业数十年的DNS安全悖论？它会给企业带来新的麻烦吗？ 长期以来，将人类可读的域名网址转换为数字IP地址的DNS服务存在着巨大安全风险，因为域名解析过程很少采用端到端加密。提供域名解析的服务器会为几乎任何IP地址（即使是已知的恶意地址）进行解析。许多终端用户设备的DNS配置也很容易被篡改成恶意服务器。 为了治理DNS顽疾，上周五微软推出了一套安全DNS框架——零信任DNS(ZTDNS)，企业可在Windows网络内部锁定域名解析。该框架的两个主要功能是： 终端用户客户端和DNS服务器之间采用加密和密码身份验证的连接。 管理员可以严格限制这些服务器所能解析的域名。 破解 DNS 安全悖论 DNS之所以成为网络安全最顽固雷区之一，主要原因之一是存在一个安全悖论：在DNS解析中实施加密和身份验证会降低管理员的可见性，（无法看到和组织用户设备连接恶意域名或检测网络内异常行为）。因此，DNS流量要么以明文形式发送，要么以允许管理员在传输过程中解密的方式进行加密，这实质上是一种中间人攻击。 管理员经常面临以下两难选择： 要么以明文形式路由DNS流量，服务器和客户端设备之间无法相互进行身份验证，因此恶意域名可以被屏蔽，并且网络监控成为可能。 要么加密和验证DNS流量，并放弃对域名的控制和网络可见性。 微软的ZTDNS通过将Windows DNS引擎与Windows筛选平台（Windows防火墙的核心组件）直接集成到客户端设备中来解决这个存在了数十年的互联网安全问题（矛盾）。 咨询公司Hunter Strategy的研究和开发副总裁Jake Williams表示，这种引擎结合可以对Windows防火墙进行以域名为基础的更新。这产生一种机制，可让企业系统管理员将客户端DNS配置为：“只使用我们的DNS服务器，该服务器使用TLS，并且只解析某些域名”。微软将这种DNS服务器称为“保护性DNS服务器”。 默认情况下，防火墙会拒绝解析允许列表（白名单）中列出的域名之外的其他所有域名的解析。单独的允许列表将包含客户端运行授权软件所需的IP地址子网。网络安全专家Royce Williams将其称为“防火墙层的一种双向API，用户可以同时触发防火墙操作（通过输入‘到防火墙’），并根据防火墙状态触发外部操作（输出‘来自防火墙’）。因此，如果您是防病毒供应商或其他任何供应商，就不必重新发明防火墙，只需连接到WFP即可。” ZTDNS 的工作原理 微软公布了一个ZTDNS的概念图（下图），展示ZTDNS如何融入微软的移动设备管理平台（该平台可帮助管理员保护和控制获准联网的远程设备）以及与从家庭或其他远程位置连接的设备进行交互。 微软表示，除了连接到保护性DNS服务器、DHCP、DHCPv6和NDP服务器（用于网络发现）的连接，ZTDNS会阻止客户端设备到所有其他IPv4或IPv6 IP地址的出站连接。 微软指出： 当应用程序和服务尝试将IPv4或IPv6流量发送到未通过ZTDNS发现的IP地址（并且不在手动例外列表中）时，该流量将被阻止。这使ZTDNS成为一种很有价值的零信任工具：它对流量是“零信任”的，管理员可使用策略感知的保护性DNS服务器定义基于域名的锁定。或者，可以使用客户端证书向服务器提供影响策略的客户端标识，而不是依赖客户端IP地址，后者既不是安全的信号，也不太适用于“随时随地工作”的设备。 通过使用ZTDNS增强零信任部署，管理员可以实现所有出站IPv4和IPv6流量的名称标记，而无需依赖拦截明文DNS流量、卷入识别和阻止来自应用程序或恶意软件的加密DNS流量的技术军备竞赛、检查即将加密的SNI，或依赖于特定供应商的网络协议。相反，管理员可以阻止无法识别关联域名或命名异常的所有流量。这意味着企业不再依赖硬编码IP地址或加密DNS服务器，也不必牺牲端到端加密的安全优势。 对于用作ZTDNS锁定的保护性DNS服务器，最低要求是支持DNS over HTTPS (DoH)或DNS over TLS (DoT)，因为ZTDNS将阻止Windows使用明文DNS。此外，在加密DNS连接上使用mTLS可支持对每个客户端配置细粒度的DNS解析策略。最后，ZTDNS没有引入任何新的网络协议，这使其成为基于域名锁定的一种有前景的可互操作方法。 Peculiar Ventures首席执行官瑞安·赫斯特(Ryan Hurst)表示，网络内部大规模采用加密连接给一些大型组织带来了困难，因为管理员使用的许多安全工具都依赖于其检查和监控明文流量的能力。Hurst指出： 微软的零信任DNS解决方案的重点是：通过将DNS转变为所谓的网络策略执行点，部分恢复可见性；在不获取明文流量的情况下可靠地控制和审核所解析的域名。当企业将ZTDNS其与出口网络过滤相结合时，可创建一个闭环，使企业可以对流量的去向和时间有一定的掌控。当发生网络攻击时，零信任DNS还有可能被用作一种迟滞或阻止攻击者在网络中横向移动的方法，在某些情况下可让数据泄露变得更加困难。 但是安全专家警告说，ZTDNS引入了一种新颖的DNS方法，除非管理员对其当前的设计进行重大更改，冒然部署可能会破坏关键的网络运营。企业在部署ZTDNS前需要指定一个团队来处理升级，进行严格测试和文化转变。“为了从ZTDNS获得最大的安全价值，系统管理员需要枚举他们希望客户端连接到的域名和/或IP范围，”Jake Williams指出：“不然将导致（自我造成的）拒绝服务。” 微软官方发布了一篇文章专门介绍了部署ZTDNS的注意事项。目前，ZTDNS的开发已经进入内部预览版，但微软没有透露内部人士何时可以对其进行评估以及何时推广使用。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16262.html 封面来源于网络，如有侵权请联系删除  

SafeBreach 研究人员 Or Yair 设计了一种技术，利用 DOS 到 NT 路径转换过程中的漏洞，在 Windows 上实现类似 rootkit 的功能。 当用户在 Windows 中执行带有路径参数的函数时，文件或文件夹的 DOS 路径将转换为 NT 路径。在此转换过程中出现了一个已知问题，即该函数从任何路径元素中删除尾随点，并从最后一个路径元素中删除尾随空格。此行为在 Windows 中的大多数用户空间 API 中都是一致的。 利用此已知问题的专家发现了以下漏洞： CVE-2023-36396，Windows 压缩文件夹远程代码执行漏洞 RCE 漏洞存在于 Windows 针对所有新支持的存档文件类型的新提取逻辑中。该专家制作了一个恶意档案，一旦提取，该档案就会写入他选择的远程计算机上的任何位置，从而导致代码执行。 CVE-2023-32054，卷影复制特权提升漏洞 可以利用此漏洞来获取正在运行受影响应用程序的用户权限。研究人员发现了两个特权提升 (EoP) 漏洞。CVE -2023-32054允许在没有所需权限的情况下写入文件，方法是从卷影副本操纵先前版本的恢复过程，以及另一个允许在没有所需权限的情况下删除文件的恢复过程。 “除了引导我发现这些漏洞之外，MagicDot 路径还赋予了我类似 rootkit 的能力，任何非特权用户都可以访问这些能力。”Or Yair写道。“我发现恶意行为者（没有管理员权限）如何隐藏文件和进程、隐藏存档中的文件、影响预取文件分析、使任务管理器和 Process Explorer 用户认为恶意软件文件是 Microsoft 发布的经过验证的可执行文件、禁用 Process Explorer具有拒绝服务 (DoS) 漏洞等等。” 用户空间 Rootkit 旨在拦截用户空间 API 调用、执行原始函数、过滤掉恶意数据并将更改后的信息返回给调用者。攻击者需要管理员权限才能运行此类 Rootkit，因为他们需要通过在具有提升权限的进程中进行操作来向用户（包括管理员）隐藏自己的存在。 内核 Rootkit 在内核中运行并尝试拦截系统调用，从而更改返回给请求该信息的用户空间进程的信息。 运行内核 Rootkit 需要访问内核，通常需要管理权限并克服各种安全措施，例如补丁防护、驱动程序签名强制、驱动程序阻止列表和 HVCI。因此，内核 Rootkit 的流行率显著下降。 Or Yair 于 2023 年向微软安全响应中心（MSRC）报告。微软承认了这些问题，并采取了以下行动： 远程代码执行（CVE-2023-36396，CVSS：7.8）：由 Microsoft 修复。 权限提升（写入）（CVE-2023-32054，CVSS：7.3）：由 Microsoft 修复。 权限提升（删除）：该漏洞已被微软重现并确认。不过，该公司并未发布 CVE 或修复程序。以下是微软的回应。“再次感谢您向 Microsoft 提交此问题。我们确定此问题不需要立即提供安全服务，但确实揭示了意外行为。该产品或服务的未来版本将考虑解决此问题。” Process Explorer 非特权 DOS 反分析 (CVE-2023-42757)：由 Process Explorer 工程团队在版本 17.04 中修复。MITRE 为该漏洞保留了 CVE-2023-42757。MITRE 已向 Microsoft 确认了该漏洞，并将在在线发布详细信息后发布 CVE。 “这项研究首次探讨了如何利用看似无害的已知问题来开发漏洞，并最终构成重大安全风险。我们相信，这些影响不仅与 Microsoft Windows 相关，而且与所有软件供应商相关，其中大多数供应商也允许已知问题在其软件版本之间持续存在。”Or Yair 总结道。（详情）   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rSackBlb-DECGTuk4-xm_A 封面来源于网络，如有侵权请联系删除