标签: Microsoft

微软紧急发布更新,修复 ARM 设备上的 Microsoft365 登录问题

近期Microsoft发布了一个带外(OOB)Windows更新,以解决安装6月补丁更新后出现的导致ARM设备上Azure Active Directory和 Microsoft 365登录问题。OOB更新将通过Windows更新自动安装,用户也可以通过Microsoft更新目录手动下载和安装(适用于Windows 10的KB5016139和适用于Windows 11的KB5016138)。对此,微软在公告中表示,该问题仅影响基于Windows ARM的设备,并可能阻止用户使用 Azure Active Directory (AAD) 登录,使用AAD登录的应用程序和服务也可能会受到影响,例如 VPN 连接、Microsoft Teams 和 Microsoft Outlook。 受此问题影响的Windows版本包括多个客户端平台:Windows 11 21H2、Windows 10 21H2、Windows 10 21H1 和 Windows 10 20H2。根据向Microsoft 365发布的服务警示,一些受影响的场景包括但不限于以下内容: 使用 Azure Active Directory (Azure AD) 登录的应用和服务 VPN 连接 微软团队桌面 企业版 OneDrive Outlook 桌面客户端 “这次OOB更新是累积的。如果您使用的是2022年6月14日前发布的更新,我们建议您安装本次OOB更新,而不是2022年6月14日的安全更新,” Redmond说,“如果您安装了较早的更新,则只会下载此软件包中包含的新更新并将其安装在您的设备上。” 该公司在首次发现问题时就给出了解决方案,如果一些无法立即安装更新的用户可以考虑应用该方案。根据微软的说法,想要使用受影响的应用程序的客户应该转向该产品的网页版本。 2022年6月的Windows更新还受到其他问题的困扰,例如用户在最新的客户端和服务器系统上使用Wi-Fi热点时遇到连接问题,以及路由和远程访问服务(RRAS)启用的服务器上的VPN和RDP连接问题。本月的更新还可能导致Windows Server系统出现备份问题,由于解决特权升级安全漏洞的安全强制措施(CVE-2022-30154),应用程序无法使用卷影复制服务(VSS)备份数据。   转自 Freebuf,原文链接:https://www.freebuf.com/news/336760.html 封面来源于网络,如有侵权请联系删除

攻击者劫持英国 NHS 电子邮件帐户以窃取 Microsoft 登录信息

据调查,在近半年的时间里,英国国家卫生系统(NHS)的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动,其中一些活动旨在窃取Microsoft登录信息。在劫持合法的NHS电子邮件帐户后,这些攻击者于去年10月开始使用它们,并至少在今年4月之前将其继续用于网络钓鱼活动。据电子邮件安全INKY的研究人员称,已经从英格兰和苏格兰员工的NHS电子邮件帐户发送出1000多条网络钓鱼邮件。 研究人员跟踪了来自NHS的两个IP地址的欺诈性消息,这些IP地址来自139名NHS员工的电子邮件帐户。INKY在其客户中检测到来自这两个地址的1,157封欺诈性电子邮件。随后NHS也确认这两个地址是用于管理大量账户的邮件系统。 在大多数情况下,网络钓鱼邮件带有虚假链接,根据邮件提示需要点击链接才能执行下一步操作,而虚假链接则会跳转到要求填写Microsoft凭据的钓鱼网站上面。为了使电子邮件更加可信,攻击者在邮件底部添加了NHS保密免责声明。 在INKY研究人员收集的其他样本中,网络钓鱼邮件通过添加公司徽标来冒充Adobe和Microsoft等品牌。并且钓鱼活动的范围很广泛,除了试图窃取凭证之外,还有一些预付费用的情况,比如攻击者告知接受者有200万美元的巨额捐款。当然,接收资金需要潜在受害者以个人详细信息(例如全名和地址、手机号码)的形式支付费用。 甚至还有人使用了Shyann Huels 的名字并假装自己是“杰夫·贝索斯先生的国际事务特别秘书”。 上图中的相同名称和消息已在4月初的诈骗中出现,该操作背后的个人拥有一个加密货币钱包地址,该地址收到了大约4.5个比特币,目前价值约 171,000 美元。 自从发现网络钓鱼活动以来,INKY一直与NHS保持联系。这家英国机构在4月中旬之后通过从本地 Microsoft Exchange 部署切换到云服务来解决风险。这一举措确实起到了不错的效果,虽然INKY客户继续收到欺诈信息,但数量要少得多。这是由于NHS为该国数以万计依赖各种技术解决方案的组织(例如医院、诊所、供应商、医生办公室)提供了基础设施。INKY的安全战略副总裁Roger Kay强调说,这些活动不是入侵 NHS电子邮件服务器的结果,而是单独劫持了帐户。   转自 FreeBuf ,原文链接:https://www.freebuf.com/articles/332063.html 封面来源于网络,如有侵权请联系删除

Microsoft Defender 网络保护功能即将登陆 macOS 平台

Microsoft Defender Advanced Threat Protection 是微软提供的终端安全平台,可以帮助企业预防、检测、调查和应对高级威胁。微软近日确认,将把网络保护功能带到 MacOS 上(适用于 macOS ver 10.15.4 及更高版本)。 网络保护(Network Protection)有助于减少设备受到网络攻击事件的影响,它可以防止员工使用任何应用程序访问危险的域,这些域可能承载着互联网上的钓鱼诈骗、漏洞和其他恶意内容。网络保护扩大了 Microsoft Defender SmartScreen 的范围,可以阻止所有试图连接到低声誉来源(基于域或主机名)的出站HTTP(s)流量。 网络保护功能将于2020年12月登陆 macOS 平台。       (消息及封面来源:cnBeta)

xHunt 黑客组织利用两个后门攻击了 Microsoft Exchange

Palo Alto Networks安全专家在调查在Kuwait发生的对Microsoft Exchange服务器的网络攻击事件时,发现了两个前所未有的Powershell后门。 专家将这次网络攻击归因于xHunt(又名Hive0081),该黑客组织于2018年首次被发现。在最近的攻击活动中,黑客使用了两个新型后门,分别为“ TriFive”和“ Snugy”,后者是基于PowerShell后门(CASHY200)的变体。 专家分析:“ TriFive和Snugy后门是PowerShell脚本,它们使用不同的命令和控制(C2)通道与黑客进行通信,从而提供对受害Exchange服务器的访问。TriFive后门基于电子邮件,使用Exchange Web Services(EWS)在受感染电子邮件帐户的Deleted Items文件夹中创建草稿。”  “ Snugy后门使用DNS通道在受害服务器上运行命令。我们将概述这两个后门,因为它们不同于之前使用的工具。” 在发布报告时,专家们尚未确定该黑客如何访问Exchange服务器。 TriFive使用了来自目标组织的合法帐户名和凭据,这意味着该黑客已在部署后门程序之前窃取了帐户。黑客登录到相同的合法电子邮件帐户,并创建主题为“ 555s”的电子邮件草稿,其中包括加密和base64编码格式的命令。 通过将编码后的密文设置为电子邮件草稿的邮件正文,将电子邮件再次以“ 555s”为主题保存在“已删除邮件”文件夹中,后门会将命令结果发送回黑客。基于Snugy powerShell的后门使用DNS通道在受感染Exchange服务器上运行命令。 黑客利用Snugy后门来获取系统信息,运行命令并从受感染的服务器中窃取数据。 研究人员共享了危害指标(IoC),以允许管理员检查其环境是否受到威胁,xHunt黑客组织的活动仍在继续。       消息来源:securityaffairs;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

部分 Microsoft Edge 开机自动启动,微软确认是 bug

本月初微软通过 Windows Update 将新版 Microsoft Edge 推送给用户,并自动取代旧版 Edge。当然,如果系统原本默认的浏览器不是 Microsoft Edge,那么升级到新版后也不会改变这一设置。 不过部分用户最近反馈的一个情况却会让人误以为微软正在另辟蹊径让他们将 Microsoft Edge 作为默认浏览器。根据用户的反馈,无论在 edge://settings/onStartup 中进行了哪种设置,无论何时启动 PC 并登录 Windows,部分 Microsoft Edge 都会随系统启动而启动。也就是说,开机并进入桌面后,Microsoft Edge 便会自动启动。 微软收到反馈的消息后,很快就确认了这是一个 bug。不过工程师目前也不能确认此错误的发生是否伴随了系统其他的行为更改。 上文提到的 edge://settings/onStartup 设置影响的是打开浏览器后的行为,与操作系统的设置并没有直接关系。 由于用户提供的信息有限,因此工程师无法定位导致 bug 产生的原因。不过根据外国科技媒体 Softpedia 的报道,这种情况发生在通过 Windows Update 自动下载安装更新的设备上。 如果你也受到此问题的影响,并且希望帮忙解决问题,可查看博客文章以获取详细信息。在博客文章中,微软提供了有关如何通过浏览器内置反馈工具共享诊断数据的完整说明。     (稿源:开源中国,封面源自网络。)

Microsoft Edge v82 开始提供与 Chrome 相似的伪装 URL 安全提醒

Google Chrome浏览器提供了“相似网址”警告保护,以警告并使用户在访问包含与热门网站相似的URL的网站时及时离开。当发现用户访问包含风险的伪造相似地址的网站时,系统会弹出警告“您刚刚尝试访问的网站看起来是假的,攻击者有时通过对URL进行细微而难以看到的更改来模仿站点”。 Chrome最早从从v75版本开始启用的相关设置,而现在微软也已紧跟其后,Microsoft Edge的82版的Dev和Canary版本在默认情形下均已启用了此功能。 Edge在识别出风险后会建议用户访问相似或受欢迎的网站,而不是停留在当前页面上,因为攻击者可能会窃取用户的私人信息。 请注意,与将网站地址发送给Google的Chrome不同,新Edge将网站地址发送给Microsoft / Bing以在用户浏览器中查找并显示正确的网站。   (稿源:cnBeta,封面源自网络。)

微软平均每天检测到超 7 万个活跃的Web Shell

根据Microsoft发布的报告,该公司平均每天检测到77,000个活动的Web Shell,它们分布在46,000台受感染的服务器上。 Web Shell是用Web开发编程语言(例如ASP,PHP,JSP)编写的代码,攻击者将其植入Web服务器上以进行远程访问和执行代码。 平均每天检测到77,000个web shell,这一数字不得不让人意识到黑客的活动有多么频繁。 微软发布的报告称:“Microsoft Defender高级威胁防护(ATP)  每月在平均46,000台不同的计算机上能检测到77,000个web shell”。 “Web shell具有多方面的威胁,企业应该为此建立全方面的防御。”微软总结道。“增强服务器对互联网的可检测性是发现和解决Web Shell威胁的关键。可以通过监视Web应用程序目录中是否写入了Web脚本文件来检测Web Shell。Outlook Web Access(OWA)之类的应用程序很少更改,应当警惕写入这类应用程序目录的脚本。”   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

全球安全资讯一周速递

HackerNews.cc 与您一同回顾上周精彩内容 [国内要闻] 国家网信办就《个人信息和重要数据出境安全评估办法》征求意见 为保障个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,促进网络信息依法有序自由流动,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,网信办同相关部门起草了《个人信息和重要数据出境安全评估办法(征求意见稿)》,现向社会公开征求意见。有关单位和各界人士可在 2017 年 5 月 11 日前,通过信函或电子邮件方式提出意见。   [国际动态] NSA 机密文档再次泄露引发全球网络安全危机 当地时间 14 日晚,Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,其中含有可远程破解全球绝大多数 Windows 系统的漏洞利用工具,甚至揭露 NSA 黑客曾入侵中东多国 SWIFT 银行系统。 “无文件攻击”威力初显:仅需一夜轻松窃走俄罗斯 ATM 80 万美元 黑客通过新型恶意软件 “ATMitch” 采用“无文件攻击”方式,一夜之间成功劫持俄罗斯 8 台 ATM 机窃走 80 万美元。卡巴斯基 2017 年 2 月就 “ATMitch” 恶意软件发布分析报告表示,黑客曾利用恶意软件 ATMitch 攻击 140 家机构,其中包括银行、电信公司与 40 余家政府单位。由于恶意软件 ATMitch 利用机器现有的合法工具远程发送命令以分配资金,所以只需几秒即可快速运行,致使清空 ATM 机而不留痕迹。 G20 全面加密互联网系统,力推数字化经济发展 国际互联网协会在给二十国集团(G20)经济领导人发表的博客中表示:为确保数字化世界发展、限制攻击者频繁访问执法相关部门,呼吁二十国集团全面加密互联网系统。互联网协会指出,强大的加密功能对于世界经济体的未来至关重要,这也是为什么它可以成为所有在线交易的规范标准。 七国集团(G7)联合发布网络空间安全的国家责任声明 七国集团( G7 )部长会议联合发布了一份关于网络空间安全的国家责任声明,鼓励所有国家在使用信息通信技术( ICT )时遵纪守法、互尊互助和建立相互信任的行为。 七国集团负责人表示这一声明是处于和平时期提出的一个自愿、非约束的规范标准。声明共计 12 个要点,旨在维护网络空间的稳定性与安全性,降低针对国际和平、安全与稳定的风险。 欧盟、北约国家成立新安全组织应对混合网络威胁 当地时间 11 日,部分欧盟国家和北约国家签署了一项在赫尔辛基建立应对网络攻击、政治宣传和虚假信息等情况的研究中心的协议。美国、英国、法国、德国、瑞典、波兰、芬兰、拉脱维亚、立陶宛都签署了这份《谅解备忘录 (Memorandum of Understanding) 》,并将在今年 7 月迎来更多其他成员国。主办国芬兰外交部长 Timo Soini 表示,该中心将以对提高混合网络威胁以及在混合威胁中被利用的网络漏洞的意识为目标。   [数据泄露] 知名搜索引擎 Ask.com 服务器日志意外公开,泄漏 237.9GB 搜索记录 4 月 7 日,知名英文搜索引擎 Ask 被发现因未知原因导致的 Apache 服务器状态面向公众公开,几乎所有人都能看到 Ask.com 上的实时搜索记录 。据统计,被公开的页面显示了服务器重置以来人们搜索的所有细节 —— 440 万条大约 237.9GB 的搜索记录等等。   [漏洞事件] Microsoft Word 爆出 0day 漏洞,已被用于传播间谍软件 FinSpy 研究人员发现 Microsoft Word 的 0day 漏洞(CVE-2017-0199)可在他人系统秘密执行代码并安装恶意软件。漏洞影响所有 Windows 操作系统之上的所有 Office 版本。近日,这一漏洞被发现与乌克兰冲突中的网络间谍活动存在某种联系,攻击者将特制的 Microsoft Word 文档伪装成俄罗斯军事训练手册,受害者一旦打开文档就会传播由 Gamma Group 开发的恶意监控软件 FinSpy 。   [恶意软件] 勒索软件 Cerber 超越 Locky 获得暗网市场最大份额 勒索软件 Cerber 出色的传播能力使 2017 年第一季度最常见的勒索软件 Locky 也黯然失色。Malwarebytes 实验室最新发布的一份网络犯罪报告中指出,勒索软件 Cerber 在暗网中的市场份额从 1 月份的 70% 上升至 3 月份的 87%。   本文由 HackerNews.cc 整理发布,转载请注明来源。

微软 DRM 版权保护技术暴露 Tor 浏览器用户真实 IP 信息

HackerHouse 的研究人员发现,受 Microsoft DRM 数字版权管理的运行机制影响,在播放受 DRM 保护的媒体内容时,运行匿名浏览器 Tor 的 Windows 用户的隐私匿名性正遭到威胁,将会暴露 Tor 用户的真实 IP 信息。 DRM 是一种数字版权保护技术,技术的核心主要是两项:一是数字加密;二是权限控制。前者阻止了数字内容的非法传播;后者则限制了使用数字内容的方式,如使用期限,可否打印,能否从电脑拷贝到手机上等。从而通过加密视频和音频,防止未经授权的传播或限制使用媒体文件。(百科) 许可证密钥 受 DRM 保护的媒体内容必须从服务器上获取许可证密钥才能打开,因而此过程中需要连接网络。由于运行机制问题,用户在打开媒体文件时,DRM 将在未经用户同意的情况下向网络发出请求数据包,数据包包含 IP 、GUID 标签等等。如果用户没有正确的数字签名,DRM 将在桌面上弹出一个问题对话框。 问题对话框 研究员表示,正是由于这些“签名”的 WMV 媒体格式文件在打开之前,不向用户提供任何警告。很多 Tor 用户误点之后将暴露 IP 等真实信息。该技术可被他人利用来逆向追踪 Tor 用户,研究人员还在 vimeo 网站上传了验证视频。 验证视频截图 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。