HackerNews 编译，转载请注明出处： 微软已修复 Windows 11 记事本中的一处 “远程代码执行” 漏洞，该漏洞可使攻击者诱骗用户点击特制的 Markdown 链接，从而执行本地或远程程序，且不会弹出任何 Windows 安全警告。 自 Windows 1.0 发布起，微软推出了记事本这款简单易用的文本编辑器，多年来，它被广泛用于快速记录笔记、阅读文本文件、创建待办事项，或作为简易代码编辑器使用。 若用户需要支持不同字体、字号，以及粗体、斜体、列表等格式工具的富文本格式（RTF）编辑器，可使用 Windows 写字板，后续则是 WordPad。 但随着 Windows 11 的发布，微软决定停止维护 WordPad 并将其从系统中移除。 微软转而对记事本进行现代化重写，使其兼具简易文本编辑器与富文本编辑器功能，并新增 Markdown 支持，用户可实现文本格式化与插入可点击链接。 Markdown 支持意味着记事本可打开、编辑并保存 Markdown 文件（.md），这类纯文本文件通过简易符号实现文本格式化、列表与链接展示。 微软修复 Windows 记事本远程代码执行漏洞 在 2026 年 2 月补丁星期二更新中，微软披露已修复记事本的一处高危远程代码执行漏洞，漏洞编号为 CVE-2026-20841。 微软安全公告说明：“Windows 记事本应用对命令中特殊元素处理不当（命令注入），可使未授权攻击者通过网络执行代码。” 微软将该漏洞发现归功于 Cristian Papa、Alasdair Gorniak 与 Chen，并称攻击者可通过诱骗用户点击恶意 Markdown 链接实施利用。 微软解释：“攻击者可诱骗用户点击记事本中打开的 Markdown 文件内的恶意链接，使应用启动未验证的协议，加载并执行远程文件。” 公告补充：“恶意代码将以打开该 Markdown 文件的用户安全上下文执行，攻击者将获得与该用户相同的权限。” 该漏洞的新颖性迅速引发社交媒体关注，网络安全研究人员快速摸清其原理与简易的利用方式。 攻击者只需创建 test.md 这类 Markdown 文件，构造指向可执行文件的 file:// 链接，或 ms-appinstaller:// 等特殊统一资源标识符（URI）即可。 用于创建可执行文件或应用安装链接的 Markdown（来源：BTtea） 若用户在 11.2510 及更早版本的 Windows 11 记事本中打开该 Markdown 文件，并以 Markdown 模式查看，上述文本会显示为可点击链接。按住 Ctrl 键点击该链接，文件会自动执行，且系统不会向用户弹出警告。 程序无警告执行，正是微软认定的远程代码执行漏洞核心问题。 Windows 11 命令提示符无警告启动（来源：BTtea） 该漏洞还可能使攻击者构造指向远程 SMB 共享文件的链接，实现无警告执行。 经科技媒体 BleepingComputer 测试，微软现已修复该 Windows 11 记事本漏洞，对非 http:// 或 https:// 协议的链接点击行为弹出警告。 Windows 11 记事本打开非标准 URL 时弹出警告（来源：BleepingComputer） 如今点击 file:、ms-settings:、ms-appinstaller、mailto:、ms-search: 等其他类型 URI 链接时，记事本均会弹出上述对话框。 但目前尚不清楚微软为何未直接禁用非标准链接，攻击者仍可通过社会工程学诱骗用户在提示框中点击 “是”。 好消息是，Windows 11 会通过微软应用商店自动更新记事本，该漏洞除技术新颖性外，大概率不会造成实际影响。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

微软已经确认，上个月的Windows安全更新正在破坏Windows 11 22H2和23H2系统上的SSH连接。 这个新确认的问题影响了企业、物联网(IoT)和教育客户，微软表示，只有“有限数量”的设备受到影响。 微软还在调查使用Windows 11家庭版或专业版的消费者客户是否受到影响。 “在安装2024年10月安全更新后，一些客户报告称OpenSSH（开放安全外壳）服务无法启动，阻止了SSH连接。”公司在10月补丁星期二KB5044285累积更新和KB5044380预览更新的支持文档更新中解释道。 “该服务失败时没有详细的日志记录，需要手动干预才能运行sshd.exe进程。” 在修复可用之前，受影响的客户仍然可以通过更新受影响目录上的访问控制列表(ACL)权限来临时修复这些SSH连接问题，具体步骤如下： 1. 以管理员身份打开PowerShell。 2. 更新“C:\ProgramData\ssh和C:\ProgramData\ssh\logs”文件夹的权限（并对“C:\ProgramData\ssh\logs”重复这些步骤），允许SYSTEM和管理员组完全控制权限，同时允许经过身份验证的用户读取权限。如果需要，你可以通过修改权限字符串来限制特定用户或组的读取权限。 3. 使用以下Powershell脚本更新权限： 微软正在积极寻找解决方案，该方案将通过即将到来的Windows更新推出。 11月9日，公司透露10月补丁星期二更新解决了影响Windows 11 24H2设备的指纹传感器冻结问题。 在指纹问题解决后，还删除了阻止受影响系统上Windows 11 24H2升级的安全防护。 上个月，微软修复了9月预览累积更新中的一个已知问题，该问题阻止一些应用程序在非管理员账户下启动在Windows 10 22H2系统上运行。 还解决了另一个问题，该问题导致安装了7月安全更新后，Windows服务器在企业网络中中断远程桌面连接。     转自E安全，原文链接：https://mp.weixin.qq.com/s/C_1CleTFPGiEOkdGNUe8og 封面来源于网络，如有侵权请联系删除

近日，斯洛伐克网络安全公司ESET报告称发现首个能够绕过最新Windows 11安全启动保护UEFI（统一可扩展固件接口）的bootkit恶意软件——BlackLotus（黑莲花），已在地下网络黑市中销售，构成重大网络安全威胁。 BlackLotus利用了一个编号为CVE-2022-21894（又名Baton Drop）的漏洞来绕过Windows的UEFI安全启动保护并长期驻留在系统固件中，可以完全控制操作系统启动过程，而且可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。（通俗来说，就是可以把受害者的电脑变成“肉鸡”） 报告称，开发者以5000美元（以及每个新的后续版本200美元）的价格出售BlackLotus，其工具包使用Assembly和C开发，文件大小仅有80KB。 BlackLotus还有地理围栏功能，可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。 有关BlackLotus的信息最早于2022年10月首次公开，当时卡巴斯基安全研究员Sergey Lozhkin将其描述为一种复杂的犯罪软件工具。 Eclypsium的Scott Scheferman表示：“BlackLotus工具包的公开售卖是一次飞越，在易用性、可扩展性、可访问性方面都有重大突破，更重要的是，其持久性、逃避和/或破坏的能力构成重大潜在威胁。” 根据ESET的说法，该漏洞的成功利用允许在早期启动阶段执行任意代码，从而允许威胁行为者在启用UEFI安全启动的系统上执行恶意操作，而无需物理访问它。 虽然微软在2022年1月的补丁星期二更新中修复了Baton Drop漏洞，但ESET研究人员Martin Smolár表示：“对该漏洞的利用仍然是可能的，因为受影响的、有效签名的二进制文件仍未添加到UEFI撤销列表中。”BlackLotus利用了这一点，将其自己的合法但存在漏洞的二进制文件拷贝带到系统中以利用该漏洞，也就是所谓的自带易受攻击驱动程序(BYOVD)攻击。 除了可以关闭BitLocker、Hypervisor保护的代码完整性(HVCI)和Windows Defender等安全机制外，BlackLotus还可删除内核驱动程序和与命令和控制(C2)服务器通信的HTTP下载程序，以检索其他用户模式或内核模式恶意软件。 用于部署BlackLotus的确切操作方式目前尚不清楚，报告称它从安装一个程序组件开始，该组件负责将文件写入EFI系统分区，禁用HVCI和BitLocker，然后重新启动主机。 重启之后将武器化CVE-2022-21894漏洞以实现持久化并安装bootkit，之后在每次系统启动时自动执行以部署内核驱动程序。 该驱动程序的任务是启动用户模式HTTP下载工具并运行下一阶段的内核模式负载，后者能够执行通过HTTPS从C2服务器接收的命令。包括下载和执行内核驱动程序、DLL或常规可执行文件；获取bootkit更新，甚至从受感染的系统中卸载bootkit。 “UEFI的沦陷并非偶然。在过去几年中，业界发现了许多影响UEFI系统安全的高危漏洞，”Smolár说：“不幸的是，由于整个UEFI生态系统和供应链问题的复杂性，即使在漏洞被修复很长时间之后，或者至少在我们被告知它们已被修复之后，大量系统仍然存在漏洞并容易遭受攻击。”     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/sy6MHFg_NgrqQGoLGKSWkg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 报道称，已有黑客在利用伪造的 Windows 11 升级安装包，来引诱毫无戒心的受害者上钩。为了将戏演得更真一些，当前正在活跃的恶意软件活动甚至会利用中毒后的搜索结果，来推送一个模仿微软 Windows 11 促销页面的网站。若不幸入套，或被恶意软件窃取浏览器数据和加密货币钱包中的资产。 假冒 Windows 11 升级网页 在推广 Windows 11 操作系统的同时，微软也为新平台制定了更加严格的安全标准。 如果你用过兼容性检查工具，就会知道最容易被拦在门外的因素是缺乏 TPM 2.0 可信平台模块，几乎将四年前的老设备都拦在了门外。 然而并不是所有人都知晓这一硬性要求，且黑客也很快盯上了这部分想要升级至 Windows 11 的普通用户。 攻击部署流程（图自：CloudSEK） 截止 Bleeping Computer 发稿时，上文提到的假冒 Windows 11 升级网站仍未被有关部门拿下，可知其精心模仿了微软官方徽标、网站图标、以及诱人的“立即下载”按钮。 粗心的访问者可以通过恶意链接获得一个 ISO 文件，但该文件格式只是为可执行的恶意文件提供了庇护 —— 攻击者相当奸诈地利用了 Inno Setup Windows Windows 安装器。 CloudSEK 安全研究人员将之命名为 Inno Stealer，可知这款新型恶意软件与目前流通的其它信息窃取程序没有任何代码上的相似之处，且 CloudSEC 未找到它有被上传到 Virus Total 扫描平台的证据。 Inno Stealer 感染链 基于 Delphi 的加载程序文件，是 ISO 中包含的“Windows 11 setup”可执行文件。它会在启动时转储一个名为 is-PN131.tmp 的临时文件、并创建另一个 .TMP 文件。 加载程序会在其中写入 3078KB 的数据，然后利用 CreateProcess Windows API 生成一个新的进程，实现持久驻留并植入四个恶意文件。 具体说来是，攻击者选择了通过在 Startup 目录中添加一个 .LNK（快捷方式）文件，并将 icacls.exe 设置隐藏属性以实现长期隐蔽。 被 Inno Stealer 盯上的浏览器列表 四个被删除的文件中，有两个是 Windows 命令脚本 —— 分别用于禁用注册表安全防护、添加 Defender 排除项、卸载安全产品、以及移除影子卷。 此外研究人员指出，该恶意软件还会铲掉 EMSIsoft 和 ESET 的安全解决方案 —— 推测是因为这两款反病毒软件的检出能力更强。 第三个文件是一个以最高系统权限运行的命令执行工具，第四个文件则是运行 dfl.cmd 命令行所需的 VBA 脚本。 被 Inno Stealer 盯上的加密货币钱包 在感染的第二阶段，恶意软件会通过一个 .SCR 屏保文件，将自身放入受感染系统的 C:\Users\\AppData\Roaming\Windows11InstallationAssistant 路径。 它会解包出信息窃取器，并生成一个名为“Windows11InstallationAssistant.scr”的新克隆进程来执行相关代理。 不过这款恶意软件的功能，倒是没有玩出其它新的花样 —— 包括收集 Web 浏览器的 cookie 和已保存的凭据、加密货币钱包、以及文件系统中的数据。 恶意软件与命令和控制服务器的通讯记录截图 最后可知 Inno Stealer 恶意软件的攻击目标相当广泛，其中包括了 Chrome、Edge、Brave、Opera、Vivaldi、360 Browser 和 Comodo 等浏览器。 所有被盗数据会被通过 PowerShell 命令复制到受感染设备上的临时目录并加密处理，然后发送到被攻击者所控制的 C2 服务器上（windows-server031.com）。 更鸡贼的是，攻击者还会只在夜间执行额外的操作，以利用受害者不在计算机身旁的时间段来巩固自身的长期隐蔽驻留。 综上所述，如果你的设备被微软官方兼容性检查工具认定不符合 Windows 11 操作系统升级要求，还请不要盲目绕过限制，否则会带来一系列缺陷和严重的安全风险。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260449.htm 封面来源于网络，如有侵权请联系删除

在 4 月 5 日的活动中，微软宣布了适用于 Windows 11 系统的新安全功能，从而在操作系统层面提供网络钓鱼保护。通过 Microsoft Defender SmartScreen，微软提供网络钓鱼的检测和保护，保护 Windows 11 设备免受恶意程序侵害。 在更新日志中，微软表示： Windows 11 正引入两项强大的新功能，以打击最常见的网络攻击技术：网络钓鱼和目标恶意软件。Windows 11的新功能是通过Microsoft Defender SmartScreen将增强的网络钓鱼检测和保护整合到 Windows 中。 这项新功能将有助于保护用户免受网络钓鱼攻击，当用户将他们的微软凭证输入到恶意应用程序或黑客网站时，会识别并提醒用户。 Smart App Control 使用代码签名和微软强大的人工智能模型，确保只有受信任的应用程序被运行，默认情况下阻止 Windows 上最大的攻击载体之一。我们还期待着通过灵活、可更新的微软 Pluton 安全处理器将云的力量带入硬件。我们对迄今为止的生态系统进展感到兴奋。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255057.htm 封面来源于网络，如有侵权请联系删除