HackerNews 编译，转载请注明出处： 2026 年 2 月 10 日，微软 Word 一款高危零日漏洞被披露，漏洞编号为 CVE-2026-21514，可使攻击者绕过核心安全防护机制。 该漏洞已遭在野主动利用，CVSS 3.1 基础评分为 7.8 分，时序评分为 7.2 分。 CVE-2026-21514 利用了微软 Word 基于不可信输入处理安全决策时的缺陷，漏洞分类为 CWE-807。 该漏洞可专门绕过微软为防范恶意 COM/OLE 控件而部署的对象链接与嵌入（OLE）缓解措施。 此类 OLE 控件可支持文档嵌入外部对象并与之交互，而校验机制缺失使攻击者能够绕过防护措施。 攻击向量与利用原理 该漏洞攻击向量为本地（AV:L），攻击复杂度低（AC:L），无需权限（PR:N），但需要用户交互（UI:R）。 攻击者需制作特制 Office 文档，通过钓鱼邮件或其他社会工程学手段诱骗受害者打开。 漏洞利用范围未扩大（S:U），即受漏洞影响的组件不会超出其安全权限范围影响其他资源。 与传统会触发安全告警的宏攻击不同，CVE-2026-21514 可完全绕过此类防护。 用户打开恶意文档时，漏洞利用程序会直接执行，不会弹出常规的 “启用内容” 提示或保护视图告警。 该漏洞利用代码成熟度为可利用（E:F），表明有效利用代码已存在并应用于真实攻击。 该漏洞影响多款 Office 版本，包括微软 365 企业版应用（32 位与 64 位）、Office LTSC 2021/2024 版，以及 Mac 版 Office LTSC 2021/2024。 微软已通过 Windows 版即点即用更新、Mac 系统 16.106.26020821 版本推送官方修复程序。 美国网络安全和基础设施安全局（CISA）要求联邦机构在 2026 年 3 月 3 日前完成该漏洞修复，足见其高危性。 机构应立即部署可用安全更新，部署邮件过滤规则拦截可疑 Office 文档，并对用户开展非邀约附件打开安全培训。 完成补丁修复前，可通过组策略设置限制 OLE 对象执行。 谷歌威胁情报团队与微软内部安全团队的安全研究人员合作发现并修复了该威胁。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了安全修复程序，解决了影响其软件产品的 126 个漏洞，其中包括一个正在被积极利用的漏洞。 在 126 个漏洞中，11 个被评为关键漏洞，112 个被评为重要漏洞，2 个被评为低严重性漏洞。其中，49 个漏洞被分类为权限提升漏洞，34 个为远程代码执行漏洞，16 个为信息泄露漏洞，14 个为拒绝服务（DoS）漏洞。   此次更新不包括该公司自上个月发布补丁星期二更新以来，在基于 Chromium 的 Edge 浏览器中修复的 22 个漏洞。   正在遭受攻击的漏洞是一个影响 Windows 公共日志文件系统（CLFS）驱动程序的权限提升（EoP）漏洞（CVE-2025-29824，CVSS 评分：7.8），该漏洞源于一个释放后使用场景，允许授权攻击者在本地提升权限。   自 2022 年以来，CVE-2025-29824 是在同一组件中发现的第六个被利用的 EoP 漏洞，其他漏洞包括 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 和 CVE-2024-49138（CVSS 评分：7.8）。   “从攻击者的角度来看，被攻陷后的活动需要获得必要的权限，以便在被攻陷的系统上进行后续活动，例如横向移动，”Tenable 高级研究工程师 Satnam Narang 表示。   “因此，权限提升漏洞在针对性攻击中通常很受欢迎。然而，近年来，CLFS 中的权限提升漏洞在勒索软件运营者中变得特别受欢迎。”   Action1 总裁兼联合创始人 Mike Walters 表示，该漏洞允许权限提升至 SYSTEM 级别，从而使攻击者能够安装恶意软件、修改系统设置、篡改安全功能、访问敏感数据并保持持久访问权限。   “这个漏洞特别令人担忧的是，微软已确认该漏洞在野外被积极利用，但目前尚未为 Windows 10 32 位或 64 位系统发布补丁，”Immersive 首席网络安全工程师 Ben McCarthy 表示。“补丁的缺失为 Windows 生态系统的大部分留下了一个关键的防御缺口。”   “在某些内存操作条件下，可以触发释放后使用漏洞，攻击者可以利用该漏洞在 Windows 中以最高权限级别执行代码。重要的是，攻击者不需要管理员权限即可利用该漏洞——只需要本地访问权限。”   根据微软的说法，该漏洞的积极利用与针对少数目标的勒索软件攻击有关。这一发展促使美国网络安全与基础设施安全局（CISA）将其添加到已知被利用漏洞（KEV）目录中，要求联邦机构在 2025 年 4 月 29 日之前应用修复程序。   本月微软修复的其他一些值得注意的漏洞包括影响 Windows Kerberos 的安全功能绕过（SFB）漏洞（CVE-2025-29809），以及 Windows 远程桌面服务（CVE-2025-27480、CVE-2025-27482）和 Windows 轻量级目录访问协议（CVE-2025-26663、CVE-2025-26670）中的远程代码执行漏洞。   同样值得注意的是，Microsoft Office 和 Excel 中的多个关键严重性远程代码执行漏洞（CVE-2025-29791、CVE-2025-27749、CVE-2025-27748、CVE-2025-27745 和 CVE-2025-27752），这些漏洞可能被攻击者利用，通过特制的 Excel 文档实现对系统的完全控制。   关键漏洞列表还包括影响 Windows TCP/IP（CVE-2025-26686）和 Windows Hyper-V（CVE-2025-27491）的两个远程代码执行漏洞，这些漏洞可能允许攻击者在某些条件下通过网络执行代码。   值得注意的是，一些漏洞尚未为 Windows 10 推出补丁。微软表示，更新将“尽快发布，当它们可用时，客户将通过此 CVE 信息的修订版收到通知。”   其他厂商的软件补丁 除了微软，其他厂商在过去几周也发布了安全更新，以修复多个漏洞，包括：   – Adobe   – Amazon Web Services   – AMD   – Apache Parquet   – Apple   – Arm   – ASUS   – Bitdefender   – Broadcom（包括 VMware）   – Canon   – Cisco   – CrushFTP   – Dell   – Drupal   – F5   – Fortinet   – GitLab   – Google Android   – Google Chrome   – Google Cloud   – Hitachi Energy   – HP   – HP Enterprise（包括 Aruba Networking）   – Huawei   – IBM   – Ivanti   – Jenkins   – Juniper Networks   – Lenovo   – Linux 发行版（Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE 和 Ubuntu）   – MediaTek   – Meta WhatsApp   – Minio   – Mitel   – Mitsubishi Electric   – MongoDB   – Moxa   – Mozilla Firefox、Firefox ESR 和 Thunderbird   – QNAP   – Qualcomm   – Rockwell Automation   – Salesforce   – Samsung   – SAP   – Schneider Electric   – Siemens   – SonicWall   – Sophos   – Splunk   – Spring Framework   – Synology   – WordPress   – Zoho ManageEngine   – Zoom   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软今天宣布，基于客户反馈，将无限期推迟移除 Windows Server Update Services (WSUS) 中的驱动同步功能。 “看到你们中有多少人已经开始转向可用的基于云的驱动服务，我们最初提议移除 WSUS 驱动同步。感谢你们的反馈，尤其是在离线设备场景中，我们现在修订了这一计划，”高级项目经理 Paul Reed 表示。 “基于您宝贵的反馈，我们推迟了原定于 2025 年 4 月 18 日移除 WSUS 驱动同步的计划。请继续关注，我们将努力制定修订后的时间线，以便为您优化我们的服务，”微软在周一的消息中心更新中补充道。 这一公告是在过去一年发布的三次警告之后发布的，微软原计划于 2025 年 4 月 18 日移除 WSUS 驱动同步。微软最初于 2024 年 6 月宣布弃用 WSUS 驱动同步，并在 2025 年 1 月鼓励 IT 管理员采用其更新的基于云的驱动服务。 一个月后，微软提醒管理员为 WSUS 驱动同步的弃用做好准备，并鼓励他们采用基于云的解决方案来管理客户端和服务器更新，例如 Windows Autopatch、Microsoft Intune 和 Azure Update Manager。 2024 年 9 月，微软还宣布 WSUS 已被弃用，但补充说，它计划维护所有现有功能，并继续通过该渠道发布更新。这一公告是在 2024 年 8 月 13 日将 WSUS 列为“从 Windows Server 2025 开始移除或不再开发的功能”之后发布的。 近二十年前作为 Software Update Services (SUS) 推出的 WSUS，帮助 IT 管理员通过单个服务器管理并分发微软产品的更新，覆盖大型企业网络中的许多 Windows 设备，而不是依赖每个终端从微软的服务器进行更新。 2024 年 6 月，微软还宣布正式弃用 Windows NTLM 身份验证协议，敦促开发人员转向 Kerberos 或协商身份验证，以避免未来的问题。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软开始测试一款名为“快速设备恢复”的新Windows 11工具，该工具旨在远程部署修复程序，解决因故障驱动程序和配置导致操作系统无法启动的问题。 该工具是微软Windows弹性计划的一部分，该计划旨在通过引入自动化工具和功能，检测、诊断和修复Windows 11中的关键故障，从而增强系统稳定性，减少停机时间。 微软解释称：“当系统出现故障时，设备有时会陷入Windows恢复环境（Windows RE），严重影响生产力，通常需要IT团队花费大量时间进行故障排查和恢复受影响的设备。” “借助快速设备恢复，当大规模故障导致设备无法正常启动时，微软可以通过Windows RE向受影响的设备广泛部署针对性修复方案，自动修复故障，迅速使用户恢复到可工作状态，无需复杂的手动干预。” 3月28日，微软将“快速设备恢复”发布至Windows内部预览版Beta通道，供内部测试人员开始测试该工具。 当启用该工具且新的驱动程序或配置更改导致Windows 11无法正常启动时，操作系统将进入Windows恢复环境并自动启动“快速设备恢复”工具。该工具将通过以太网或Wi-Fi连接到互联网，并将崩溃数据发送至微软服务器。根据对这些数据的分析，微软可以远程应用修复程序，例如移除有问题的驱动程序或更新以及更改配置设置。 这款新工具是为应对2024年7月CrowdStrike故障更新而推出的。当时，该更新导致全球数百万台Windows设备突然出现蓝屏死机（BSOD）并陷入重启循环。为移除该故障更新，Windows管理员不得不进入Windows恢复环境或安全模式，手动删除驱动程序，以使Windows设备恢复正常启动。 有了“快速设备恢复”这样的工具，微软本可以更轻松、更快速地推送修复程序，移除驱动程序并使设备重新上线。 微软表示，该功能最终将在Windows 11家庭版中默认启用。企业用户可以通过RemoteRemedation CSP或直接在设备上通过reagentc.exe，在Windows 11专业版和企业版中自定义该工具的工作方式。 该工具还可以预先配置网络凭据，以便更容易地部署修复程序，并配置故障设备多久向微软服务器请求一次修复。 微软将在几天内发布一个测试修复包，供内部测试人员进行实时测试。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正在推广恶意的Microsoft OAuth应用，这些应用伪装成Adobe和DocuSign应用，用于分发恶意软件和窃取Microsoft 365账户凭证。 Proofpoint的研究人员发现了这些活动，并在X上的一条推文中将其描述为“高度针对性”的攻击。 此次活动中，恶意OAuth应用伪装成Adobe Drive、Adobe Drive X、Adobe Acrobat和DocuSign等应用。 这些应用请求访问相对不敏感的权限，如“个人资料”、“电子邮件”和“开放ID”，以避免被检测和引起怀疑。 如果用户授予这些权限，攻击者将获得以下访问权限： – 个人资料：姓名、用户ID、个人资料图片、用户名 – 电子邮件：主要电子邮件地址（无收件箱访问权限） – 开放ID：允许确认用户身份并获取Microsoft账户详细信息 Proofpoint告诉BleepingComputer，这些钓鱼活动通过被攻陷的电子邮件账户（很可能是Office 365账户）从慈善机构或小公司发送。 这些电子邮件针对美国和欧洲的多个行业，包括政府、医疗保健、供应链和零售业。网络安全公司看到的一些电子邮件使用了请求建议书和合同诱饵，以诱使收件人点击链接。 虽然接受Microsoft OAuth应用所提供的权限仅向攻击者提供了有限的数据，但这些信息仍可能被用于更具针对性的攻击。 此外，一旦用户授予OAuth应用权限，它会将用户重定向到显示Microsoft 365凭证钓鱼表单或分发恶意软件的登录页面。 “受害者在授权O365 OAuth应用后，经历了多次重定向和阶段，最终被呈现恶意软件或钓鱼页面，”Proofpoint告诉BleepingComputer。 “在某些情况下，受害者被重定向到一个‘O365登录’页面（托管在恶意域名上）。在授权后不到一分钟，Proofpoint检测到账户上有可疑的登录活动。” Proofpoint表示，他们无法确定所分发的恶意软件，但攻击者利用了过去一年变得非常流行的ClickFix社会工程攻击。 用于恶意OAuth活动的ClickFix登录页面 来源：Proofpoint 这些攻击与多年前报道的攻击相似，表明OAuth应用仍然是劫持Microsoft 365账户的有效方式，而无需窃取凭证。 建议用户在批准OAuth应用权限请求时保持谨慎，并始终验证其来源和合法性。 要检查现有的批准权限，可以前往“我的应用”（myapplications.microsoft.com）→“管理你的应用”，并在该页面上撤销任何未识别的应用。 Microsoft 365管理员还可以通过“企业应用”→“同意和权限”→将“用户可以同意应用”设置为“否”，以完全限制用户对第三方OAuth应用请求的权限。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软周二发布安全更新，修复了57个安全漏洞，其中包括6个已在野外被积极利用的零日漏洞。 在这57个漏洞中，6个被评为“严重”，50个为“重要”，1个为“低危”。修复的漏洞中，有23个涉及远程代码执行，22个与权限提升相关。 此外，微软还修复了其基于 Chromium 的 Edge 浏览器中的17个漏洞，其中一个是特定于浏览器的伪造漏洞（CVE-2025-26643，CVSS 评分：5.4）。 6个被积极利用的零日漏洞 CVE-2025-24983（CVSS 评分：7.0）——Windows Win32 内核子系统的 Use-After-Free（UAF）漏洞，允许授权攻击者在本地提升权限。 CVE-2025-24984（CVSS 评分：4.6）——Windows NTFS 信息泄露漏洞，攻击者可通过插入恶意 USB 设备，读取目标设备的部分堆内存。 CVE-2025-24985（CVSS 评分：7.8）——Windows Fast FAT 文件系统驱动的整数溢出漏洞，允许未经授权的攻击者在本地执行代码。 CVE-2025-24991（CVSS 评分：5.5）——Windows NTFS 越界读取漏洞，允许授权攻击者在本地窃取信息。 CVE-2025-24993（CVSS 评分：7.8）——Windows NTFS 基于堆的缓冲区溢出漏洞，允许未经授权的攻击者在本地执行代码。 CVE-2025-26633（CVSS 评分：7.0）——Microsoft Management Console（MMC）输入净化不当漏洞，允许未经授权的攻击者本地绕过安全功能。 发现并报告 CVE-2025-24983 的安全公司 ESET 透露，该漏洞最早于2023年3月在野外发现，并通过名为 PipeMagic 的后门程序传播至受感染主机。 ESET 解释称，该漏洞属于 Win32k 驱动中的 Use-After-Free 漏洞，在特定情况下，使用 WaitForInputIdle API 可能导致 W32PROCESS 结构被多次解引用，引发 UAF 攻击。要成功利用该漏洞，攻击者需要在竞争条件中占据优势。 PipeMagic 于2022年首次被发现，这是一种基于插件的木马程序，主要针对亚洲和沙特阿拉伯的目标。2024年底，该恶意软件曾伪装成 OpenAI ChatGPT 应用进行传播。 据卡巴斯基实验室 2024年10月的报告，PipeMagic 生成 16 字节的随机数组，以 \\.\pipe\1.<十六进制字符串> 的格式创建命名管道。该恶意软件会不断创建、读取并销毁该管道，以接收加密载荷和控制信号。通常，PipeMagic 依赖从命令与控制（C2）服务器下载的多个插件，而该服务器托管在微软 Azure 上。 Zero Day Initiative 指出，CVE-2025-26633 源自 MSC 文件处理方式的缺陷，允许攻击者绕过文件信誉保护，并在当前用户环境中执行代码。此漏洞的利用活动与名为 EncryptHub（又称 LARVA-208）的威胁组织有关。 安全公司 Action1 发现，攻击者可以将影响 Windows 核心文件系统的四个漏洞（CVE-2025-24985、CVE-2025-24993、CVE-2025-24984 和 CVE-2025-24991）进行组合利用，从而实现远程代码执行和信息泄露。这四个漏洞均由匿名报告。 Immersive 安全研究高级总监 Kev Breen 解释称，该攻击方法依赖于攻击者构造恶意的 VHD（虚拟硬盘）文件，并诱导用户打开或挂载它。虽然 VHD 主要用于存储虚拟机操作系统，但过去已有攻击者通过 VHD/VHDX 作为钓鱼攻击载体，以绕过杀毒软件检测。 Tenable 研究员 Satnam Narang 指出，CVE-2025-26633 是继 CVE-2024-43572 之后，第二个在野外被利用的 MMC 相关零日漏洞。而 CVE-2025-24985 则是自 2022年3月以来，Windows Fast FAT 文件系统驱动的首个被利用的零日漏洞。 目前尚不清楚这些漏洞的具体利用规模和攻击环境。鉴于其严重性，美国网络安全与基础设施安全局（CISA）已将这些漏洞列入“已知被利用漏洞”（KEV）目录，并要求联邦机构在 2025年4月1日前完成修补。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已经关闭了未公开数量的 GitHub 存储库，这些存储库被用于大规模的恶意广告活动中，影响了全世界近一百万台设备。 微软的威胁分析师在 2024 年 12 月初发现了这些攻击活动，当时他们观察到多个设备从 GitHub 存储库下载了恶意软件，这些恶意软件随后被用来在受损系统上部署各种其他有效载荷。 分析活动后，他们发现攻击者为了获取经济利益在非法的盗版流媒体网站的视频中注入了广告，这些广告会将潜在受害者重定向到攻击者控制的恶意的 GitHub 存储库 。 微软今天解释说：“流媒体网站在电影框架中嵌入了恶意广告重定向器，以从恶意广告平台生成按次观看或按点击付费的收入。这些重定向器随后通过一两个额外的恶意重定向器路由流量，最终到达另一个网站，例如恶意软件或技术支持诈骗网站，然后再重定向到 GitHub。” 恶意广告视频将用户重定向到 GitHub 存储库，这些存储库会感染恶意软件，这些恶意软件旨在进行系统发现、收集详细的系统信息（例如内存大小、图形细节、屏幕分辨率、操作系统和用户路径），并在收集数据的同时部署额外的有效载荷。 第三阶段的有效载荷是一个 PowerShell 脚本，它会从命令和控制服务器下载 NetSupport 远程访问木马病毒，并在注册表中为其建立持久性机制。一旦执行，该恶意软件还可以部署 Lumma 信息窃取器和开源的 Doenerium 信息窃取器，以窃取用户数据和浏览器凭证。 另一方面，如果第三阶段的有效载荷是一个可执行文件，它会创建并运行一个 CMD 文件，同时丢弃一个带有 .com 扩展名的重命名的 AutoIt 解释器。这个 AutoIt 组件随后会启动二进制文件，并可能丢弃另一个带有 .scr 扩展名的 AutoIt 解释器。同时，还会部署一个 JavaScript 文件，以帮助执行 .scr 文件并为其建立持久性机制。 在攻击的最后阶段，AutoIt 有效载荷使用 RegAsm 或 PowerShell 打开文件、启用远程浏览器调试，并窃取额外的信息。在某些情况下，PowerShell 还被用来配置 Windows Defender 的排除路径，或者丢弃更多 NetSupport 有效载荷。 虽然 GitHub 是第一阶段有效载荷的主要托管平台，但微软威胁情报中心还观察到 Dropbox 和 Discord 上托管的有效载荷。 微软表示：“此活动被跟踪在名为 Storm – 0408 的行动之下，我们用它来跟踪众多与远程访问或信息窃取恶意软件相关的威胁行为者，这些行为者还使用网络钓鱼、搜索引擎优化（SEO）或恶意广告活动来分发恶意有效载荷。” “这次活动影响了各种组织和行业，包括消费者和企业设备，突显了攻击的无差别性质。” 微软的报告提供了有关此次复杂的恶意广告活动中各个攻击阶段以及使用的有效载荷的更多详细信息。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软宣布将从 Windows 中移除位置历史功能，该功能曾允许像 Cortana 虚拟助手这样的应用程序获取设备的位置历史。 微软在公告中表示：“我们正在弃用并移除位置历史功能，这是一个允许 Cortana 在位置启用时访问设备 24 小时历史的 API。” 弃用该功能意味着数据将不再本地保存，相关设置也将从操作系统（Windows 10 和 11）中消失。 该功能背后的 API ‘Geolocator.GetGeopositionHistoryAsync’ 为应用程序提供本地存储的数据，这些数据是位置服务在过去 24 小时内收集的。 “位置服务仅在应用程序或服务查询用户位置时收集位置信息，但每秒不超过一次，”微软解释道。 设备位置数据本地存储，只有在应用程序或服务主动请求时才会填充列表。 BleepingComputer 已联系微软，询问弃用位置历史 API 的原因，我们将在收到回复后更新此文章。 开发者应审查使用 Windows.Devices.Geolocation API 的应用程序，并迁移到其他方法，否则其工具的核心功能可能在未来出现故障。 位置服务选项也将从 Windows 设置 > 隐私与安全 > 位置中移除。 用户可以完全停用该设置，以阻止所有应用程序和服务访问位置数据。 停用后，用户应点击 “清除” 按钮，以删除过去 24 小时内的任何位置数据。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

随着Zero Day Quest黑客活动的启动，微软正在加强其漏洞悬赏计划。该活动的潜在奖励高达 400 万美元，主要用于推动云计算和人工智能等关键领域的研究。 活动重点 该活动邀请安全研究人员发现并报告微软人工智能和云赏金计划中具有重大影响的漏洞： AI、Microsoft Azure、Microsoft Identity、M365、Microsoft Dynamics 365 和 Power Platform。 “为了促进人工智能安全，我们将提供双倍的人工智能赏金奖励。我们还将为研究人员提供直接接触微软人工智能工程师（专注于开发安全的人工智能解决方案）和我们的人工智能红队（AI Red Team）的机会。微软安全响应中心（MSRC）工程副总裁汤姆-加拉格尔（Tom Gallagher）解释说：“这个机会将使参与者能够利用最先进的工具和技术提高自己的技能，并与微软合作提高整个生态系统的人工智能安全标准–让每个人都更安全。”他还邀请感兴趣的研究人员注册参加微软人工智能红队的培训课程。 一旦漏洞得到修复，我们将鼓励研究人员公开讨论他们的发现。微软表示，它将通过 “常见漏洞与暴露”（CVE）计划透明地分享云服务漏洞，即使这些漏洞不需要客户采取行动。 零日探索挑战 零日探索 “为参与者提供了两个独特的机会： 研究挑战： 这项挑战向所有人开放，邀请世界各地的研究人员通过发现和报告上述解决方案中的漏洞来展示他们的专业知识。研究挑战赛将从太平洋时间 2024 年 11 月 19 日上午 12:00 开始，持续到太平洋时间 2025 年 1 月 19 日晚上 11:59。 现场黑客活动： 这项仅限受邀者参加的活动将于 2025 年在华盛顿州雷德蒙德的微软园区举行，专为在 2024 年 Azure、Dynamics 和 Office 年度排行榜上排名前 10 位的微软研究人员准备。此外，还将根据参加公开研究挑战赛的实力邀请另外45名研究人员。     转自安全客，原文链接：https://www.anquanke.com/post/id/302015 封面来源于网络，如有侵权请联系删除

今天是微软2024年3月补丁日，微软发布了针对60个漏洞的安全更新，其中包括18个远程代码执行漏洞。 本月补丁仅修复了两个严重级别漏洞：Hyper-V 远程代码执行漏洞和拒绝服务漏洞。 按漏洞类别统计： 24个特权提升漏洞 3个安全功能绕过漏洞 18个远程代码执行漏洞 6个信息泄露漏洞 6个拒绝服务漏洞 2个欺骗漏洞 60 个安全漏洞总数不包括 3 月 7 日修复的 4 个 Microsoft Edge 缺陷。微软没有在今天的补丁日更新中披露任何0day漏洞。 本次更新修复以下组件的安全漏洞： Microsoft Windows 、Office、Azure、.NET框架和Visual Studio、SQL Server、Windows Hyper-V、Skype、适用于 Android 的 Microsoft 组件、和微软Dynamics。微软还修复了另外五个 Chromium 缺陷。 其中两个漏洞（编号为CVE-2024-21407 和 CVE-2024-21408）被评为“严重”级，而其余漏洞为“重要”级。 漏洞 CVE-2024-21407 是 Windows Hyper-V 中的远程代码执行漏洞。 “此漏洞需要来宾虚拟机上经过身份验证的攻击者向虚拟机上的硬件资源发送特制的文件操作请求，这可能会导致在主机服务器上远程执行代码。” 安全公告中写道：“成功利用此漏洞需要攻击者收集特定环境的信息，并在利用之前采取其他措施来准备目标环境。” 漏洞 CVE-2024-21408 是 Windows Hyper-V 中的拒绝服务漏洞。 Microsoft 解决的评分最高的漏洞是开放管理基础设施 (OMI) 远程代码执行漏洞，编号为CVE-2024-21334（CVSS 评分 9.8）。 未经身份验证的远程攻击者可以触发此漏洞，在可通过 Internet 访问的 OMI 实例上执行代码。 “目前尚不清楚有多少系统可以通过互联网访问，但数量可能很大。微软给出了“利用可能性较小”的评级，但考虑到这是一个针对重要目标的简单释放后使用 (UAF) 漏洞，预计 TCP 端口 5986 的扫描很快就会增加。” 据 ZDI报道。 本月补丁日没有修复任何0day漏洞，但包含一些有趣的缺陷: CVE-2024-21400- Microsoft Azure Kubernetes 服务机密容器特权提升漏洞 Microsoft 修复了 Azure Kubernetes 服务中的一个漏洞，该漏洞可能允许攻击者获得提升的权限并窃取凭据。 Microsoft 安全公告解释道：“成功利用此漏洞的攻击者可能会窃取凭据并影响超出 Azure Kubernetes 服务机密容器 (AKSCC) 管理的安全范围的资源。” CVE-2024-26199 – Microsoft Office 权限提升漏洞 Microsoft 修复了 Office 漏洞，该漏洞允许任何经过身份验证的用户获得系统权限。 “任何经过身份验证的用户都可能触发此漏洞,它不需要管理员或其他提升的权限。”微软解释道。 CVE-2024-20671 – Microsoft Defender 安全功能绕过漏洞 微软修复了一个 Microsoft Defender 漏洞，微软解释说：“成功利用此漏洞的经过身份验证的攻击者可能会阻止 Microsoft Defender 启动。” 这将通过 Windows 设备上自动安装的 Windows Defender 反恶意软件平台更新来解决。此缺陷已在反恶意软件平台 4.18.24010.12 版本中修复。 CVE-2024-21411 – Skype for Consumer 远程代码执行漏洞 微软修复了 Skype for Consumer 的一个远程代码执行漏洞，该漏洞可能由恶意链接或图像触发。 微软解释说：“攻击者可以通过即时消息向用户发送恶意链接或恶意图像，然后说服用户单击该链接或图像来利用该漏洞。” 更多信息参考微软安全更新发行说明。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/AfVPHjx99c8Sim39rDdyuQ 封面来源于网络，如有侵权请联系删除