Google TAG 发布证据显示，俄罗斯 APT29使用的漏洞与以色列 NSO 集团和 Intellexa 使用的漏洞相同或惊人相似，这表明国家支持的黑客组织和有争议的监控软件供应商之间可能获取了工具。 这支俄罗斯黑客团队，又名午夜暴雪或 NOBELIUM，被指控对多起备受瞩目的公司进行黑客攻击，其中包括对微软的入侵，攻击中窃取了源代码和高管电子邮件数据。 据谷歌研究人员称，APT29 已利用多个在野漏洞攻击活动，这些活动通过对蒙古政府网站进行水坑攻击进行传播。这些活动首先传播了影响 16.6.1 以上 iOS 版本的 iOS WebKit 漏洞，随后利用 Chrome 漏洞链攻击运行 m121 至 m123 版本的 Android 用户。 Google TAG 表示：“这些活动使用了nday漏洞，这些漏洞已有补丁，但对未打补丁的设备仍然有效。”并指出，在水坑活动的每次迭代中，攻击者使用的漏洞与 NSO Group 和 Intellexa 之前使用的漏洞相同或极为相似。 谷歌发布了 2023 年 11 月至 2024 年 2 月期间 Apple Safari 活动的技术文档，该活动通过 CVE-2023-41993（由 Apple 修补并归功于公民实验室）提供了 iOS 漏洞。 2023 年 11 月至 2024 年 2 月针对 iOS 的攻击活动中使用的攻击链 谷歌表示：“当使用 iPhone 或 iPad 设备访问时，水坑攻击网站会使用 iframe 来提供侦察负载，该负载会执行验证检查，最终下载并部署另一个带有 WebKit 漏洞的负载，以从设备中窃取浏览器 cookie。” 研究人员指出，WebKit 漏洞不会影响当时运行当前 iOS 版本（iOS 16.7）或启用了锁定模式的 iPhone 的用户。 据谷歌称，该水坑漏洞“使用了完全相同的触发器”，与 Intellexa 使用的公开发现的漏洞“使用相同的触发器”，强烈暗示作者和/或提供商是相同的。 谷歌表示： “我们不知道最近的水坑攻击活动中的攻击者是如何获得这一漏洞的。” 谷歌指出，这两个漏洞利用都共享相同的利用框架，并加载了相同的 cookie 窃取框架，该框架之前曾被俄罗斯政府支持的攻击者利用CVE-2021-1879获取来自 LinkedIn、Gmail 和 Facebook 等知名网站的身份验证 cookie。 研究人员还记录了第二条攻击链，该攻击链利用了 Google Chrome 浏览器中的两个漏洞。其中一个漏洞 ( CVE-2024-5274 ) 被发现为 NSO Group 使用的野外0day漏洞。 2024 年 7 月针对 Google Chrome 的攻击活动中使用的攻击链 在本案中，谷歌发现证据表明俄罗斯 APT 改编了 NSO 集团的漏洞。 “尽管这两个漏洞的触发机制非常相似，但它们的概念却大不相同，相似之处不如 iOS 漏洞那么明显。例如，NSO 漏洞支持 Chrome 107 至 124 版本，而水坑漏洞仅针对版本 121、122 和 123。”谷歌表示。 漏洞重用时间表 俄罗斯攻击链中的第二个漏洞（CVE-2024-4671）也被报告为被利用的0day漏洞，并且包含一个漏洞样本，类似于之前与 Intellexa 相关的 Chrome 沙盒逃逸。 Google TAG 表示：“很明显，APT 参与者正在使用最初由商业间谍软件供应商用作0day漏洞的 n-day 漏洞。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/jBRdFW-Pd6SdvA8tpO7VHg 封面来源于网络，如有侵权请联系删除

近日，谷歌公司宣布通过其漏洞奖励计划报告的Google Chrome单一漏洞的最高奖励金额已超过25万美元。 从8月28日起，谷歌将根据研究人员报告的漏洞质量来对内存损坏漏洞加以区分。奖励金额将从展示Chrome内存损坏和堆栈跟踪的基线报告显著提升至通过功能性漏洞展示远程代码执行的高质量报告。 Chrome 安全工程师 Amy Ressler 表示：现在是时候改进 Chrome VRP 奖励和金额了，以便为向我们报告漏洞的安全研究人员提供改进的结构和更明确的期望，并激励对 Chrome 漏洞进行高质量报告和更深入的研究，探索它们的全部影响和可利用潜力。 对于在非沙盒过程中展示远程代码执行（RCE）的单一问题，最高奖励金额可达25万美元。如果这种RCE能够在不损害渲染器的情况下实现，奖励金额甚至可能更高。 此外，谷歌还将MiraclePtr绕过奖励的金额增加了一倍多，从10万美元提升至25万美元。 Google 还会根据漏洞的质量、影响和对 Chrome 用户的潜在危害，将其他类别的漏洞报告归类为以下类别并给予奖励： 影响较小：可利用的可能性低、利用的先决条件重要、攻击者控制力低、用户危害风险/可能性低 中等影响：利用的先决条件中等，攻击者控制程度一般 高影响：可利用性的直接路径、可证明和重大的用户危害、远程可利用性、利用前提条件低 Ressler 表示：当所有报告包含适用的特征时，它们仍然有资格获得奖金奖励。我们将继续探索更多的实验性奖励机会，类似于之前的全链漏洞利用奖励，并以更好地服务于安全社区的方式发展我们的计划。没有证明安全影响或潜在用户伤害的报告，或者纯粹是理论或推测问题的报告，不太可能有资格获得 VRP 奖励。 本月早些时候，谷歌还宣布，由于可操作漏洞报告数量的减少，其Play安全奖励计划将在8月31日关闭新报告的提交。 7月，谷歌启动了kvmCTF，这是一个新的漏洞奖励计划，旨在提高基于内核的虚拟机（KVM）管理程序的安全性，为完整的VM逃逸漏洞提供高达25万美元的奖励。 自2010年推出漏洞奖励计划以来，谷歌已向报告超过1.5万名漏洞安全研究人员支付了超过5000万美元的奖励。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409700.html 封面来源于网络，如有侵权请联系删除

8月27日，外媒BleepingComputer报道，黑客组织Volt Typhoon（伏特台风）利用Versa Director零日漏洞上传自定义Webshell，窃取凭据并破坏美国公司网络。 本周周一8月26日，Versa公司宣布他们修复了一个被追踪为CVE-2024-39717的高风险漏洞。这个漏洞被未具名的民族国家黑客组织至少利用过一次。 该漏洞存在于上传自定义图标Versa Director GUI的功能中。漏洞允许具有管理员权限的威胁行为者上传伪装成PNG图像的恶意Java文件，然后远程执行这些文件。 Versa表示Director版本21.2.3、22.1.2和22.1.3受到该漏洞的影响。升级到最新版本22.1.4将修复漏洞，管理员应查看供应商的系统强化要求和防火墙指南。 在最近的事件中，Volt Typhoon利用Versa Director中的漏洞上传了一个名为 VersaMem的复杂、定制的Webshell。此WebShell用于拦截和收集凭据，以及在受感染的服务器上执行任意恶意代码，同时避免被发现。 Versa Directo上的Volt Typhoon攻击流程 据报道，Volt Typhoon最新活动目标包括4家美国公司和1家非美国公司，他们属于互联网服务提供商、托管服务提供商和信息技术领域企业。 Lumen的Black Lotus Labs研究人员在6月初发现了Versa零日漏洞。最初版本是从新加坡上传到VirusTotal病毒库的。这个上传时间大约比在美国最早发现Versa Director服务器漏洞事件早了五天。 “我们怀疑威胁行为者可能在对美国目标发起攻击之前，先在其他地区测试了他们的攻击手段。“该公司补充道。当前恶意软件版本在VirusTotal上没有被检测出来。 关于伏特台风，百度百科内容：“伏特台风”（Volt Typhoon），由微软公司根据其黑客组织命名规则命名而来，真实面目是国际勒索软件组织，来自“伏特台风”的恶意程序样本并未表现出明确的国家背景黑客组织行为特征，而是与“暗黑力量”勒索病毒等网络犯罪团伙的关联程度明显。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Y08WuQcpZsL5Vwz9X2VSkA 封面来源于网络，如有侵权请联系删除

网络安全公司 ESET 称，与韩国有关的网络间谍组织 APT-C-60 利用 Windows 版 WPS Office 中的0day漏洞在东亚目标上安装 SpyGlace 后门。 WPS Office 是中国金山软件开发的一款办公套件，在亚洲非常受欢迎。据报道，它在全球拥有超过 5 亿活跃用户。 该黑客组织被追踪为 APT-C-60，0day漏洞编号为 CVE⁠⁠2024⁠-⁠7262。ESET 将 APT-C-60 描述为“与韩国结盟的网络间谍组织”。 该漏洞允许远程代码执行，已被用来向东亚目标投放名为 SpyGlace 的自定义后门。该0day漏洞 (CVE-2024-7262) 至少自 2024 年 2 月下旬以来就已在野外攻击中被利用，影响的版本从 12.2.0.13110（2023 年 8 月）到 12.1.0.16412（2024 年 3 月）。 CVE-2024-7262 存在于软件处理自定义协议处理程序的方式中，特别是“ksoqing://”，它允许通过文档内特制的 URL 执行外部应用程序。 由于对这些 URL 的验证和清理不当，该漏洞允许攻击者制作导致任意代码执行的恶意超链接。 APT-C-60 创建了电子表格文档（MHTML 文件），其中嵌入了隐藏在诱饵图像下的恶意超链接，以诱骗受害者点击它们，从而触发漏洞。 处理后的 URL 参数包括一个 base64 编码的命令，用于执行特定插件 (promecefpluginhost.exe)，该插件试图加载包含攻击者代码的恶意 DLL (ksojscore.dll)。 该DLL是APT-C-60的下载器组件，用于从攻击者的服务器获取最终的有效负载（TaskControler.dll），这是一个名为“SpyGlace”的自定义后门。 攻击链 中国网络安全公司安恒信息（DBAPPSecurity）最近发布了对 WPS Office 漏洞的分析，此前该公司确定该漏洞已被利用来向中国用户传播恶意软件。 SecurityWeek已经看到中国公司和政府机构发布的多份有关 APT-C-60 的报告，该组织在中国被追踪为“伪猎人”。其中一些报告将该 APT 与韩国联系起来。 根据2022 年底 ThreatBook（微步在线） 的一份报告，APT-C-60 还针对了韩国的实体。 ESET 周三报告称，2 月底，一份利用 CVE-2024-7262 漏洞的恶意文档被上传到 VirusTotal。攻击者创建了看似无害的电子表格，当目标用户点击单元格时触发漏洞。 诱饵文档嵌入了一张隐藏恶意超链接的图片 关于此漏洞的另一个有趣的事实是，它也可以通过在 Windows 资源管理器的预览窗格中单击来触发，这使得它更加危险。 据 ESET 称，WPS Office 开发商金山在 2024 年 3 月发布版本 12.1.0.16412 时修补了该0day漏洞。自 2023 年 8 月以来发布的软件版本均受到影响，但仅限于 Windows。 在对 CVE-2024-7262 进行分析时，ESET 发现开发商只修复了部分错误代码，该漏洞仍然可被利用。随后，该供应商发布了针对第二个漏洞的补丁，补丁编号为 CVE-2024-7263。 WPS Office 是一款流行的办公套件，根据官方网站的数据，其全球活跃用户超过 5 亿。这使其成为漏洞利用开发人员的一个有价值的目标。 安全专家建议所有WPS 用户应尽快将软件更新到最新版本。 ESET 提供了APT-C-60 攻击的技术细节以及攻击检测指标 ( IoC )，参考链接：https://github.com/eset/malware-ioc/tree/master/apt_c_60   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/BdUFk6X5CAmBuH7__6UXqg 封面来源于网络，如有侵权请联系删除

Mirai 僵尸网络在全球 DDoS 攻击中发挥了重要作用，特别是针对 IoT 设备和服务器的攻击。最近，Mirai的命令和控制服务器中发现了一个新漏洞，该漏洞允许攻击者执行DDoS攻击，但同时也能被安全人员用来进行反制。 僵尸网络的核心基础设施完全依赖于 C2 服务器，其中可以控制数千台受感染的僵尸计算机。一位名叫“Jacob Masse”的研究人员发现表明，这种DDoS 攻击的存在是由于 CNC 服务器上的会话管理不当造成的。 研究人员表示，发起此攻击不需要身份验证，从而很容易被利用。执法部门或安全研究人员也可以使用这种攻击场景来使 CNC 服务器无法运行，从而导致僵尸网络被拆除。具体原理基于此漏洞会压垮服务器的会话缓冲区，当同时建立多个连接时，无法正确处理该缓冲区。 此外，这种攻击还存在于预验证阶段，即验证打开后的多个同时连接尝试未得到正确处理。 在此情况下，攻击者可以使用根用户名发送验证请求，从而在 CNC 服务器上打开多个连接。 服务器无法管理这些连接尝试，从而导致资源耗尽和服务器崩溃。 因此，对于安全人员而言，利用此漏洞可以破坏僵尸网络活动，从而随后消除与僵尸网络相关的威胁。但从攻击者角度出发，该漏洞导致的恶意网络压力也会破坏数据并造成业务中断。 Mirai 僵尸网络被发现于2016年8月，因其潜在的DDoS攻击和庞大网络而多次成为头条新闻，特别是针对 IoT 设备和服务器的攻击。Mirai 拥有数千台遭到入侵的设备，并通过利用弱默认密码和已知漏洞来瞄准 IP 摄像头和家用路由器等消费类设备，其他几个变体的源代码与 Mirai相似。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409539.html 封面来源于网络，如有侵权请联系删除

开源GPS跟踪系统Traccar近日曝出两个高危漏洞，可被黑客利用远程执行代码。在全球GPS跟踪市场中，Traccar因其灵活的开源架构和可定制化特点，深受企业和个人用户的青睐。它被广泛应用于物流运输、车队管理、资产跟踪、安全监控以及个人定位等多个领域。通过Traccar，用户可以实现对车辆位置的实时监控、历史轨迹回放、地理围栏设置等功能，从而提高运营效率和安全性。根据Horizon3.ai的研究员Naveen Sunkavally所述，披露的两个漏洞都是路径遍历（PathTraversal）漏洞，当启用访客注册功能（Traccar5的默认配置）时，漏洞就会被武器化利用。以下是这两个漏洞的简要描述： CVE-2024-24809（CVSS分数：8.5）-路径遍历漏洞，允许上传具有危险类型的文件，攻击路径为dir/../../filename。 CVE-2024-31214（CVSS分数：9.7）-设备图片上传功能中存在不受限制的文件上传漏洞，可能导致远程代码执行。 Sunkavally表示：“CVE-2024-31214和CVE-2024-24809的综合结果是，攻击者可将任意内容的文件放置到文件系统的任意位置。不过，攻击者只能部分控制文件名。” 这些问题与程序处理设备图片文件上传的方式有关，攻击者可以借此覆盖文件系统中的某些文件，从而触发代码执行。这些文件必须符合以下命名格式： device.ext：攻击者可以控制ext（扩展名），但必须存在扩展名。 blah”：攻击者可以控制blah，但文件名必须以双引号结尾。 blah1″;blah2=blah3：攻击者可以控制blah1、blah2和blah3，但必须包含双引号、分号序列和等号。 攻击场景与利用方式 在Horizon3.ai提出的概念验证（PoC）中，攻击者可以利用Content-Type头中的路径遍历漏洞来上传crontab文件，从而在攻击者主机上获取反向shell。然而，这种攻击方式无法在基于Debian或Ubuntu的Linux系统上运行，因为这些系统禁止crontab文件包含句号或双引号。另一种攻击方式是利用Traccar以root用户权限安装的特性，攻击者可以投放一个内核模块，或者配置一个udev规则，使其在每次触发硬件事件时执行任意命令。在易受攻击的Windows实例中，攻击者可以通过在C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp目录中放置一个名为device.lnk的快捷方式文件来实现远程代码执行。当目标用户登录Traccar主机时，该文件会被自动执行。 受影响版本及修复措施 Traccar版本5.1至5.12均受到CVE-2024-31214和CVE-2024-24809的影响。这些漏洞已在2024年4月发布的Traccar 6中得到修复，新版本默认关闭了自注册功能，从而减少了攻击面。 Sunkavally进一步解释道：“如果注册设置为true、readOnly为false且deviceReadonly为false，那么未经身份验证的攻击者可以利用这些漏洞。而这些正是Traccar 5的默认配置。” 总结 Traccar GPS是颇为流行的开源GPS跟踪系统，此次曝光的两个远程执行漏洞对设备和系统安全构成严重威胁。虽然这些漏洞已在Traccar 6中得到了修复，但对使用Traccar 5系列的用户来说，关闭自注册功能并更新至最新版本至关重要。确保这些配置安全，才能有效抵御潜在的网络攻击。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/TbvItWzI_KWWUzcsqBueUg 封面来源于网络，如有侵权请联系删除

SafeBreach 安全研究员 Alon Leviev 发布了其Windows Downdate工具，该工具可用于Windows降级攻击，重新引入最新的 Windows 10、Windows 11 和 Windows Server 系统中的旧漏洞。 在这种攻击中，攻击者强迫最新的目标设备恢复到旧软件版本，从而重新引入可被利用来破坏系统的安全漏洞。 Windows Downdate 是一个基于 Python 的开源程序和预编译的 Windows 可执行文件，可以帮助降级 Windows 10、Windows 11 和 Windows Server 系统组件。 Leviev 分享了多个使用示例，允许将 Hyper-V 虚拟机管理程序降级至两年前的版本、Windows 内核、NTFS 驱动程序和过滤器管理器驱动程序（降级至其基本版本）以及其他 Windows 组件和以前应用的安全补丁。 SafeBreach 安全研究员 Alon Leviev解释说：“您可以使用它来接管 Windows 更新，以降级并暴露 DLL、驱动程序、NT 内核、安全内核、虚拟机管理程序、IUM 信任程序等中的过去漏洞。除了自定义降级之外，Windows Downdate 还提供了易于使用的恢复 CVE-2021-27090、CVE-2022-34709、CVE-2023-21768 和 PPLFault 补丁的使用示例，以及降级虚拟机管理程序、内核和绕过 VBS 的 UEFI 锁的示例。” 正如 Leviev 在 Black Hat 2024 上披露 Windows Downdate 降级攻击（利用CVE-2024-21302和CVE-2024-38202漏洞）时所说的那样，使用此工具是无法检测到的，因为它无法被端点检测和响应 (EDR) 解决方案阻止，并且 Windows 更新会不断报告目标系统是最新的（尽管已被降级）。 “我发现了多种禁用 Windows 基于虚拟化的安全性 (VBS) 的方法，包括其 Credential Guard 和 Hypervisor 保护的代码完整性 (HVCI) 等功能，即使在使用 UEFI 锁强制执行的情况下也是如此。据我所知，这是第一次在没有物理访问的情况下绕过 VBS 的 UEFI 锁。” Leviev 说。“结果，我能够让一台完全修补过的 Windows 机器受到过去数千个漏洞的攻击，将已修复的漏洞变成零日漏洞，并让世界上任何一台 Windows 机器上的‘完全修补’一词变得毫无意义。” 尽管微软于 8 月 7 日发布了安全更新 ( KB5041773 ) 来修复 CVE-2024-21302 Windows 安全内核模式权限提升漏洞，但该公司尚未针对 Windows 更新堆栈权限提升漏洞 CVE-2024-38202 提供补丁。 在安全更新发布之前，微软建议客户实施本月早些时候发布的安全公告中分享的建议，以帮助防止 Windows Downdate 降级攻击。 该问题的缓解措施包括配置“审计对象访问”设置来监控文件访问尝试、限制更新和恢复操作、使用访问控制列表来限制文件访问以及审计权限来识别利用此漏洞的尝试。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/va31Jea1GBsHGhhqIW3vcg 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现 20 多个可能被用于攻击 MLOps 平台的漏洞，并警告机器学习 (ML) 软件供应链中存在安全风险。 这些漏洞被描述为固有和基于实现的缺陷，可能会造成严重后果，从任意代码执行到加载恶意数据集。 MLOps 平台提供设计和执行 ML 模型管道的功能，其中模型注册表充当用于存储和版本训练的 ML 模型的存储库。然后可以将这些模型嵌入到应用程序中，或允许其他客户端使用 API（又称模型即服务）查询它们。 JFrog 研究人员在一份详细报告中表示：“固有漏洞是由目标技术所使用的底层格式和流程导致的漏洞。” 一些固有漏洞的例子包括滥用 ML 模型来运行攻击者选择的代码，利用模型在加载时支持自动代码执行（例如，Pickle 模型文件）。 这种行为还扩展到某些数据集格式和库，允许自动执行代码，从而在简单加载公开可用的数据集时可能打开恶意软件攻击的大门。 另一个固有漏洞实例涉及 JupyterLab（以前称为 Jupyter Notebook），这是一个基于 Web 的交互式计算环境，使用户能够执行代码块（或单元）并查看相应的结果。 研究人员指出：“许多人不知道的一个固有问题是，在 Jupyter 中运行代码块时如何处理 HTML 输出。Python 代码的输出可能会发出 HTML 和 [JavaScript]，而浏览器会呈现这些内容。” 这里的问题是，JavaScript 结果在运行时不会受到父 Web 应用程序的沙盒保护，并且父 Web 应用程序可以自动运行任意 Python 代码。 换句话说，攻击者可以输出恶意的 JavaScript 代码，以便在当前的 JupyterLab 笔记本中添加新单元，将 Python 代码注入其中，然后执行它。在利用跨站点脚本 (XSS) 漏洞的情况下尤其如此。 为此，JFrog 表示，它发现了 MLFlow 中的一个 XSS 漏洞 ( CVE-2024-27132 ，CVSS 评分：7.5)，该漏洞源于运行不受信任的配方时缺乏足够的清理，从而导致 JupyterLab 中的客户端代码执行。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/33OxeqSO2YfF6Ffv-Ows0g 封面来源于网络，如有侵权请联系删除

SolarWinds 在其 Web Help Desk 产品中留下了硬编码凭证，可供远程、未经身份验证的攻击者使用，登录易受攻击的实例、访问内部功能并修改敏感数据 该软件制造商称这是一个严重的疏忽，目前已发布更新修复；制造商鼓励用户安装修复程序，该修复程序会删除内置的硬编码凭证。 该安全漏洞编号为CVE-2024-28987，CVSS 严重性评级为 9.1（满分 10）。 它影响 Web Help Desk 12.8.3 HF1 及所有先前版本，并已在 12.8.3 HF2 中修复。昨天发布的修补程序必须手动安装。 WHD 是 SolarWinds 的 IT 帮助台票务和资产管理软件，其网站拥有来自政府、教育、医疗保健、非营利组织和电信领域客户的推荐。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z9feIKhNS9VrRE__XM6xsA 封面来源于网络，如有侵权请联系删除

最近，众多Linux用户报告称他们的设备在尝试启动时，收到了一条神秘的错误消息：“系统出了严重问题。”这起事件的罪魁祸首是微软在月度安全更新中发布的一个补丁，用于修复一个存在已久的GRUB漏洞。这次更新却导致了Linux和Windows双系统设备的启动问题，引发大量用户投诉和抱怨。 Linux/Windows双系统“躺枪” 新发现的漏洞编号为CVE-2022-2601，最早于2022年被发现，其漏洞评分高达8.6分（满分10分）。该漏洞允许攻击者绕过安全启动机制，进而可能在启动过程中加载恶意软件。尽管该漏洞早在两年前便已被披露，但微软却迟至本月才发布补丁。然而，这次修复的副作用让许多Linux用户措手不及。 多款Linux发行版受影响 此次更新对运行双系统的设备带来了严重影响，特别是那些同时运行Windows和Linux的用户。用户报告称，当他们尝试加载Linux系统时，收到如下错误信息：“验证shim SBAT数据失败：安全策略违规。”相关的讨论和支持论坛瞬间被用户抱怨的声音所淹没，受影响的发行版包括Debian、Ubuntu、Linux Mint、Zorin OS和Puppy Linux等。微软发布的公告原本声称该更新仅适用于运行Windows的设备，且不会影响双系统设备。然而，事实证明，许多运行较新版本Linux的设备同样受到了影响，包括Ubuntu 24.04和Debian 12.6.0等最新发行版。 用户自救解决方案 面对微软的沉默，受影响的用户不得不自行寻找解决办法。最直接的方法是进入EFI面板并关闭安全启动功能。然而，对于注重设备安全性的用户而言，这一选项可能并不可行。另一种临时解决方案是删除微软推送的SBAT策略，这能够让用户保留部分安全启动的保护功能，同时避免由于CVE-2022-2601漏洞而导致的攻击风险。具体步骤包括： 禁用安全启动 登录Ubuntu系统并打开终端 使用命令删除SBAT策略： Select all sudo mokutil –set-sbat-policy delete 重启并重新登录Ubuntu以更新SBAT策略 再次重启并在BIOS中重新启用安全启动 安全启动的局限性 此次事件暴露了Windows安全启动机制的诸多问题。尽管安全启动旨在保护操作系统免受恶意软件的威胁，但近年来，研究人员已经发现了至少四个漏洞，足以破坏这一安全机制。最近的一次漏洞利用甚至影响了超过200款设备型号，证明了安全启动机制的脆弱性。 安全分析师Will Dormann指出：“尽管安全启动的初衷是让Windows的启动更加安全，但它似乎正逐渐暴露出越来越多的缺陷，无法完全兑现其应有的安全保障。” 这一观点也得到了业界的广泛认同，安全启动的复杂性和微软在这一机制中的核心角色，使得任何漏洞都可能给Windows设备带来致命的安全隐患。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/AMwv-4PTcfHyQ2dO_k0e8Q 封面来源于网络，如有侵权请联系删除