2024 年 12 月 10 日，微软披露了Windows 远程桌面服务中的一个严重漏洞，能够让攻击者在受影响的系统上执行远程代码，从而对系统机密性、完整性和可用性构成严重威胁。 该漏洞被跟踪为 CVE-2024-49115，CVSS 评分为 8.1，由昆仑实验室的研究员 k0shl发现。漏洞影响Windows Server 的多个版本，包括Windows Server 2016、Windows Server 2019、Windows Server 2022和Windows Server 2025。 漏洞源于两个关键缺陷： CWE-591：在锁定不当的内存中存储敏感数据 CWE-416：释放后使用 攻击者可通过连接到具有远程桌面网关角色的系统并触发竞争条件来利用此漏洞。 这会产生 “free-after-free”  情况，从而执行任意代码。 值得注意的是，这种攻击不需要用户交互或权限，但其高度复杂性使得没有高级技术技能的攻击者不太可能成功利用该漏洞。 目前所有受影响的版本都已作为微软 2024 年 12 月 “星期二补丁”更新的一部分，打上了相应的安全补丁。虽然漏洞利用代码的成熟度目前尚未得到证实，也没有证据表明存在主动利用或公开披露的情况，但其潜在影响仍然很大。 成功利用后，攻击者可通过远程代码执行完全控制目标系统。 此漏洞反映了与远程桌面协议 （RDP） 等远程访问技术相关存在的持续性风险。 虽然目前还没有主动利用漏洞的报告，但这一漏洞的严重性凸显了立即采取行动保护系统免受潜在攻击的必要性，包括将 RDP 访问限制在受信任的网络、启用网络级身份验证（NLA）和监控可疑活动。     转自Freebuf，原文链接：https://www.freebuf.com/news/417532.html 封面来源于网络，如有侵权请联系删除

网络犯罪分子一直在寻找绕过安全防御的新方法，据 Perception Point 报道，最新的策略是利用 ZIP 连接向 Windows 用户发送木马恶意软件。这种技术利用了 ZIP 文件格式的灵活性，允许攻击者以躲避检测方法的方式嵌入恶意有效载荷。 ZIP 文件压缩效率高、使用方便，因此被广泛用于捆绑文件。然而，这种结构也可能被利用。威胁者可以通过将多个 ZIP 压缩文件串联成一个文件来操纵 ZIP 文件。Perception Point 的报告解释说：“在处理连接的 ZIP 文件方面存在的这种差异使攻击者可以通过将恶意有效载荷隐藏在某些 ZIP 阅读器无法访问或不访问的存档部分来躲避检测工具”。 这种规避策略的影响因所使用的 ZIP 阅读器而异： 7zip： 它只显示存档的一部分，通常是良性文件，而潜在的恶意内容仍被隐藏。 WinRAR：这一工具可揭示整个有效载荷，同时暴露良性和恶意内容。 Windows 文件资源管理器： 它很难处理连接的 ZIP 文件，用户往往看不到隐藏的内容。 Perception Point 强调指出，这种可变性允许攻击者针对特定软件进行攻击。正如报告中指出的，“许多安全厂商依赖于流行的 ZIP 处理程序，如 7zip 或操作系统本地工具……威胁行为者知道这些工具经常会错过或忽略隐藏在压缩包中的恶意内容。” Perception Point 的分析发现了一个钓鱼电子邮件活动，该活动分发了一个伪装成合法运输文件的压缩 ZIP 文件。这个名为 SHIPPING_INV_PL_BL_pdf.rar 的恶意文件一旦用 WinRAR 或 Windows 文件资源管理器打开，就会发现档案中隐藏了一个可执行木马。该木马使用 AutoIt 脚本嵌入，能够下载额外的恶意有效载荷，有可能导致严重的系统危害。 Perception Point 推出了 “递归解包器”，这是一种专有的反规避算法，能够检测和提取深层隐藏的内容。通过分析连接的 ZIP 文件的每一层，Recursive Unpacker 可降低风险并提高对潜在威胁的可见性。     转自安全客，原文链接：https://www.anquanke.com/post/id/301742 封面来源于网络，如有侵权请联系删除  

据报道，名为OilRig 的伊朗威胁行为体在针对阿联酋甚至更广泛海湾地区的网络间谍活动中，利用了Windows 的内核缺陷。 趋势科技研究人员 Mohamed Fahmy、Bahaa Yamany、Ahmed Kamal 和 Nick Dai 在周五发布的一份分析报告中指出：“该组织采用了复杂的策略，包括部署后门，利用微软 Exchange 服务器窃取凭证，以及利用 CVE-2024-30088 等漏洞进行权限升级。” 该网络安全公司正在追踪这个名为 Earth Simnavaz 的威胁行为者，它还被称为 APT34、Crambus、Cobalt Gypsy、GreenBug、Hazel Sandstorm（前身为 EUROPIUM）和 Helix Kitten。 该攻击链需要部署一种从未有过记录的植入程序，它具有通过本地微软 Exchange服务器泄露凭据的功能，这是对手过去采用的一种屡试不爽的战术，同时还将最近披露的漏洞纳入其漏洞库。 微软于 2024 年 6 月修补了 CVE-2024-30088，该漏洞涉及 Windows 内核中的权限升级问题，假定攻击者能够赢得竞赛条件，则可利用该漏洞获得 SYSTEM 权限。 最初进入目标网络的方式是通过渗透一个易受攻击的网络服务器，先丢弃一个网络外壳，而后丢弃ngrok远程管理工具，以保持持久性并转移到网络中的其他端点。 这个权限升级漏洞随后被用作传递代号为 “STEALHOOK ”的后门通道，该后门负责通过Exchange服务器以附件的形式，将收集的数据传输到攻击者控制的电子邮件地址。 OilRig 在最新一组攻击中使用了一种值得注意的技术，即利用提升的权限来丢弃密码的过滤策略 DLL (psgfilter.dll)，以便通过域控制器或本地计算机上的本地账户从域用户那里提取敏感凭证。 研究人员表示：“恶意行为者在实施密码过滤器导出功能时，非常小心地处理明文密码。”威胁者还利用明文密码远程访问和部署工具。明文密码在通过网络发送时首先被加密，然后才被外泄。 值得注意的是，早在 2022 年 12 月就有人发现 psgfilter.dll 的使用，与针对中东地区组织的活动中一个名为 MrPerfectionManager 的后门有关。 研究人员指出，他们最近的活动表明：“地球Simnavaz专注于政治敏感地区关键基础设施的脆弱性。他们还寻求在被入侵的实体中建立持久的立足点，这样这些实体就可以被武器化，对其他目标发动攻击。”   消息来源：The Hacker News，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司Malwarebytes将Recall称为“预装键盘记录器”，而软件工程师和Web3批评者Molly White则称其为“间谍软件”。 在遭到大批网络安全专家的抨击和“破解”后，微软终于决定“隐藏”其刚发布数周的Windows回忆功能。 微软发布“间谍软件” 5月20日微软隆重发布Windows回忆功能（Recall）时，万万没想到会招来消费者和安全行业人士铺天盖地的恶评。网络安全公司Malwarebytes将其称为“预装键盘记录器”，而软件工程师和Web3批评者Molly White则称其为“间谍软件”。 进一步加剧用户担忧的是，微软表示，Recall不会在截图中对敏感信息进行遮挡，例如密码或财务信息。这意味着存储在用户计算机上的Recall截图数据库可能会成为黑客的金矿，汇集了大量敏感数据，并且可以通过AI驱动的搜索功能轻松搜索。 微软坚称，由于所有Recall数据都存储在本地并通过设备加密或BitLocker加密，用户的隐私受到保护。该功能将在Copilot+PC上默认启用，但用户可以禁用它，并配置为不记录特定网站和应用程序。 然而，自Recall宣布以来的几周内，多位安全专家对预览版进行了渗透测试，发现了多种访问和利用Recall数据库大规模窃取敏感数据的方法。 例如，SIX Group的网络控制主管兼HackerOne技术咨询委员会成员Alex Hagenah开发了一个“非常简单”的概念验证工具，名为“TotalRecall”，它可以复制、搜索和提取Recall数据库文件中的信息。 此外，谷歌Project Zero的安全研究员James Forshaw发表了一篇关于绕过访问控制列表的博客文章，揭示了通过Windows AIXHost.exe进程的令牌或简单地重写自由访问控制列表，用户无需管理员权限即可访问Recall数据库，因为数据库被视为用户拥有。 回忆功能被“隐藏” 针对“客户反馈”，微软在周五的一篇博客文章中宣布，Recall将不再默认激活，用户需要手动启用才能使用该功能。此外，用户需要完成Windows Hello生物识别注册过程才能启用Recall功能，这进一步降低了黑客在用户选择关闭Recall后启用它的可能性。 微软表示，查看Recall时间线和使用AI驱动搜索工具的必要条件之一是通过Windows Hello验证用户在场，用户通过Windows Hello增强登录安全进行身份验证后才能解密截图。 “我们希望重申企业和操作系统安全副总裁David Weston之前分享的内容，即Copilot+PC设计为默认安全。”微软在博客文章中写道。 自Recall宣布以来一直对其持批评态度的安全研究员、前微软高级威胁情报分析师KevinBeaumont对这一更新表示欢迎。“事实证明，（安全业界的）发声是有效的，”Beaumont在X平台上写道。 “（Recall功能的）细节中显然还会有一些潜在的大问题，但也有一些积极变化。微软需要承诺不在未来偷偷让用户启用该功能，并且在企业的组策略和Intune中默认关闭它。”Beaumont补充道。   转自安全内参，原文链接：https://www.secrss.com/articles/66956 封面来源于网络，如有侵权请联系删除

近日，惠普威胁研究团队发现 “树莓罗宾 “（通常是勒索软件攻击的前兆）蠕虫背后的威胁行为者改变了传播策略，除了使用 USB 驱动器等可移动媒体向目标主机传播外，还通过高度混淆的 Windows 脚本文件（WSF），利用反分析技术进行传播。 不过只有当恶意软件在真实设备上而不是在沙盒中运行时，才会下载和执行最终有效载荷。 树莓罗宾最早于 2021 年由红金丝雀公司披露，是恶意软件即服务运营商部署的一种工具。微软在 2022 年底表示，该蠕虫是一个复杂且相互关联的恶意软件生态系统的一部分，与其他恶意软件家族和替代感染方法有联系。 据惠普公司称，树莓罗宾是 SocGholish、Cobalt Strike、IcedID、BumbleBee 和 Truebot 这些恶意软件家族的前身。它最初的感染载体是通过 USB 驱动器，但现在已扩展到包括恶意广告在内的其他方法。 今年 3 月，恶意行为者开始通过 .wsf 文件传播该蠕虫病毒。系统管理员和合法软件通常使用这种文件类型在 Windows 中自动执行任务，是自动化日常任务和简化复杂流程的强大工具。 解码树莓罗宾的 WSF Distribution .wsf 文件格式支持 JScript 和 VBScript 等脚本语言，可由 Windows 操作系统内置的 Windows 脚本主机组件进行解释。 这些 Windows 脚本文件通过威胁行为者控制的各种恶意域和子域提供下载。虽然目前还不清楚威胁行为者是如何引诱用户访问恶意 URL ，但惠普威胁研究人员认为他们可能是通过垃圾邮件或恶意广告活动实现的。 该恶意软件还会检测以下安全软件供应商： Kaspersky ESET Avast Avira Check Point Bitdefender 截至惠普发布通知时，威胁行为者的 WSF 文件在 Virus Total 上的检测率为 0%。这就意味着 VirusTotal 上没有任何反病毒扫描器将这些文件分类为恶意文件，显示了该恶意软件的隐蔽性。 分析发现，该脚本还使用了经典方法，通过检查网卡的 MAC 地址来识别运行环境是否虚拟化。为了防止审查，如果在调试器中进行分析，该脚本会从磁盘中自动删除并以命令行参数重新启动。在功能上，它充当了下载器的角色，从网上检索树莓罗宾 DLL 并将其存储在本地，同时通过在防病毒扫描中添加异常来逃避检测。 研究人员表示，WSF下载器被严重混淆，并使用了许多反分析和反虚拟机技术，使恶意软件能够逃避检测并减慢分析速度。鉴于树莓罗宾已被用作人为操作勒索软件的前兆，在感染链的早期阶段反击这种恶意软件应该成为安全团队的重中之重。   转自FreeBuf，原文链接：https://www.freebuf.com/news/397709.html 封面来源于网络，如有侵权请联系删除

目前，微软正在将 Linux 的 “sudo “功能引入 Windows Server 2025，为管理员提升控制台应用程序的权限提供了一种新方法。 超级用户（Superuser do，简称sudo）是一种 Linux 控制台程序，允许低权限用户以提升的权限执行命令。通过Sudo，服务器可以在低权限账户下正常使用，这提高了 Linux 的安全性。 以下是一个使用 sudo 命令的示例，我们先以低权限用户身份运行 “whoami”，然后使用 sudo 运行它。 请注意，whoami 命令显示是以 bleeping 用户身份运行的。当使用 sudo 执行 whoami 命令时，试验账户的权限会提升到 root。 使用 whoami 演示 sudo 命令 在 Windows Server 2025 中测试 sudo 微软上周发布了首个 Windows Server 2025 Insider 预览版。不久后，网上又泄露出一个更新的版本。 据 Windows Latest 报道，泄露的版本包含一些正在开发的新功能，其中包括 Windows “sudo “命令的新设置。 Windows Server 2025 预览版中的新 sudo 设置 这些设置只有在启用开发者模式后才可用，而且 sudo 命令目前还不能从命令行运行，这表明它还处于开发初期。 不过，sudo 设置提供了该命令将如何运行的一些线索，包括 “在新窗口中”、”禁用输入 “和 “内联 “运行 sudo 应用程序的功能。Windows 已经提供了使用 UAC 提示自动提升程序权限的功能，可让程序在窗口中以提升的权限运行。 某些管理工具（如 bcdedit 和 reagentc）需要管理员身份才能运行这些命令。在这种情况下，sudo 命令将允许程序根据其 Windows 设置运行，如在新窗口、当前窗口中内嵌运行，或使用禁用输入设置在非交互式 shell 中运行。 Windows 11 中目前还没有这个功能，但微软未来也或许会在该操作系统中添加 sudo 功能。值得注意的是，微软通常会在预览版中测试新功能，但不会将其应用到正式版中。     转自Freebuf，原文链接：https://www.freebuf.com/news/391509.html 封面来源于网络，如有侵权请联系删除

一项新的研究发现，戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X 笔记本电脑上的多个漏洞可以绕过 Windows Hello 身份验证。 这些漏洞是由硬件和软件产品安全研究公司 Blackwing Intelligence 的研究人员发现的，他们从这些设备中嵌入的 Goodix、Synaptics 和 ELAN 的指纹传感器中发现了这些漏洞。 利用指纹读取器漏洞的前提条件是目标笔记本电脑的用户已经设置了指纹验证。 这三种指纹传感器都是一种称为 “芯片匹配”（MoC）的传感器，它将匹配和其他生物识别管理功能直接集成到传感器的集成电路中。 研究人员 Jesse D’Aguanno 和 Timo Teräs 说：虽然 MoC 可以防止将存储的指纹数据重放给主机进行匹配，但它本身并不能防止恶意传感器欺骗合法传感器与主机的通信，谎称授权用户已成功通过身份验证。 MoC也无法阻止重放主机与传感器之间先前记录的通信。 尽管微软创建的安全设备连接协议（SDCP）旨在通过创建端到端安全通道来缓解其中的一些问题，但研究人员发现了一种新方法，可用于规避这些保护措施和发动AitM攻击。 在Synaptics公司的案例中，不仅发现SDCP在默认情况下是关闭的，而且在实施过程中还选择依赖有漏洞的自定义传输层安全（TLS）协议栈来确保主机驱动程序和传感器之间的USB通信安全，而这种安全协议栈可以被用来规避生物识别身份验证。 另一方面，对 Goodix 传感器的利用，利用了在加载了 Windows 和 Linux 的机器上执行的注册操作的根本差异，利用后者不支持 SDCP 来执行以下操作： 启动到 Linux 枚举有效 ID 使用与合法 Windows 用户相同的 ID 注册攻击者的指纹 利用明文 USB 通信对主机和传感器之间的连接进行 MitM 启动到 Windows 拦截并重写配置数据包，以便使用我们的米特米技术指向 Linux DB 使用攻击者的指纹以合法用户身份登录 值得指出的是，虽然 Goodix 传感器为 Windows 和非 Windows 系统分别提供了不同的指纹模板数据库，但由于主机驱动程序会向传感器发送未经验证的配置数据包，以指定在传感器初始化过程中使用哪个数据库，因此攻击才有可能发生。 为减少此类攻击，建议原始设备制造商（OEM）启用 SDCP，并确保指纹传感器的实施由独立的专家进行审核。 研究人员说：微软在设计 SDCP 以在主机和生物识别设备之间提供安全通道方面做得很好，但不幸的是，设备制造商似乎误解了其中的一些目标。 此外，SDCP 只覆盖了典型设备非常狭窄的操作范围，而大多数设备都暴露了相当大的攻击面，SDCP 根本没有覆盖这些攻击面。   转自Freebuf，原文链接：https://www.freebuf.com/news/384633.html 封面来源于网络，如有侵权请联系删除

相信熟悉Windows系统的用户或多或少都了解过其中自带的写字板功能，但微软近期表示，将在未来的某个 Windows 版本更新中正式移除写字板。 写字板是一种基本的文本编辑应用程序，允许用户创建和编辑带有格式化文本，并包含图像和其他文件的链接的文档。自1995年Windows 95发布以来，写字板便一直是Windows系统中自带的软件功能。 随着写字板将正式被弃用，微软建议用户使用Word来替代写字板，并为那些不需要富文本支持的用户推荐使用记事本。 其实自 2020 年 2 月发布 Windows 10 Insider Build 19551 以来，写字板就变成了Windows系统中的可选功能，即用户可以通过控制面板将其卸载。 目前微软并未透露移除写字板的具体原因，但恶意软件也曾利用过写字板进行攻击活动。今年年初，Qbot 恶意软件操作就通过滥用Windows 10 写字板中的 DLL 劫持缺陷来感染计算机并逃避检测。 近年来，微软已在Windows中砍掉了多项已存在多年的自带软件，包括经典的画图程序，该应用在2017年 7 月发布的 Windows 10 Fall Creator’s Update版本更新中被正式移除。但由于画图程序受众依然广泛，微软将其移至应用商店供用户下载。 因此，如果写字板依然存在用户需求，微软仍可能为其提供在应用商店的下载渠道，而不是彻底让这款有着28年历史的应用彻底消失。     转自Freebuf，原文链接:https://www.freebuf.com/news/377081.html 封面来源于网络，如有侵权请联系删除

FortiGuard 实验室的网络安全研究人员发现了几个影响 Windows 和 Mac 设备的 Adobe ColdFusion 漏洞。 远程攻击者可利用Adobe ColdFusion 2021中的验证前RCE漏洞，获取受影响系統的控制权力。 Adobe 已发布安全补丁来解决这些漏洞，但攻击者仍在利用这些漏洞。 攻击活动涉及多个阶段，包括探测、反向外壳和部署恶意软件。 目前已发现四种不同的恶意软件： XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后门。 建议用户及时升级系统并部署保护机制，以挫败正在进行的攻击。 由于 Adobe ColdFusion 存在漏洞，Windows 和 macOS 平台的众多用户目前都面临风险。该软件套件是网络应用程序开发的热门选择，最近由于远程攻击者发现并利用了认证前远程代码执行（RCE）漏洞而受到攻击。这些漏洞使攻击者有能力夺取受影响系统的控制权，从而将危险系数提升到了严重级别。 这些攻击的核心目标是 Adobe ColdFusion 2021 中的 WDDX 反序列化过程。虽然Adobe迅速回应了安全更新（APSB23-40、APSB23-41和APSB23-47），但FortiGuard实验室仍观察到持续的攻击尝试。 从对攻击模式的分析，研究人员发现了威胁行为者执行的一个过程。他们使用 “interactsh “等工具发起探测活动，以测试漏洞利用的有效性。观察到这些活动涉及多个域，包括 mooo-ngcom、redteamtf 和 h4ck4funxyz。探测阶段让攻击者深入了解了潜在漏洞，并为更多的恶意行动的做好铺垫。 攻击活动的复杂性还体现在反向外壳的使用上。通过对有效载荷进行 Base64 编码，攻击者试图在未经授权的情况下访问受害者系统，从而实现远程控制。 值得注意的是，分析揭示了一种多管齐下的方法，包括部署各种恶意软件变种。攻击是从不同的 IP 地址发起的，这引起了人们对该活动影响范围之广的担忧。恶意软件有效载荷以 Base64 编码，在解码前隐藏了其真实性质。研究人员发现了四种不同的恶意软件： XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后门。 XMRig Miner 主要与 Monero 加密货币挖矿有关，被用来劫持系统处理能力。通过利用 6.20.0 版本，攻击者设法利用被入侵的系统获取经济利益。 Lucifer是一个混合型机器人，结合了加密劫持和分布式拒绝服务（DDoS）功能，是一个强大的实体。该恶意软件变种不仅展示了其挖矿能力，还展示了其在指挥和控制操作、通过漏洞传播以及复杂的 DDoS 攻击方面的能力。 与 “Lucifer “相连的 RudeMiner 携带着以前的 DDoS 攻击遗产。它在当前威胁环境中的参与表明了它的持久性和适应性，使其成为一个重大隐患。 BillGates/Setag 后门之前与 Confluence 服务器漏洞有关，在此背景下再次出现。表明它具有多方面的能力，包括系统劫持、C2 通信和多种攻击方法，其中包括基于 SYN、UDP、ICMP 和 HTTP 的攻击。 尽管有安全补丁可用，但攻击的持续不断，也突显了采取行动的紧迫性。我们强烈建议用户及时升级系统并部署保护机制，包括防病毒服务、IPS 签名、网络过滤和 IP 信誉跟踪，以遏制持续不断的攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/376962.html 封面来源于网络，如有侵权请联系删除

新的研究结果表明，攻击者可以利用一种隐匿的恶意软件检测规避技术，并通过操纵 Windows 容器隔离框架来绕过端点安全的解决方案。 Deep Instinct安全研究员丹尼尔-阿维诺姆（Daniel Avinoam）在本月初举行的DEF CON安全大会上公布了这一发现。 Microsoft的容器体系结构（以及扩展的 Windows 沙盒）使用所谓的动态生成的映像将文件系统从每个容器分离到主机，同时避免重复系统文件。 Avinoam一份报告中说：它只不过是一个“操作系统映像，其中包含可以更改的文件的干净副本，但链接到主机上已存在的Windows映像中无法更改的文件”，从而降低了完整操作系统的整体大小。结果就是包含’幽灵文件’的图像，它们不存储实际数据，但指向系统上的不同目录。 正因为如此，我突然想到，如果我们可以使用这种重定向机制来混淆我们的文件系统操作并混淆安全产品，那会怎样？ 这就提到了 Windows 容器隔离 FS （wcifs.sys） 过滤器驱动程序的作用。该驱动程序的主要目的就是处理 Windows 容器与其主机之间的文件系统隔离。 换句话说，我们的想法是让当前进程在一个人造容器内运行，并利用迷你过滤器驱动程序来处理 I/O 请求，这样它就可以在文件系统上创建、读取、写入和删除文件，而不会向安全软件发出警报。 值得一提是，在此阶段，迷你过滤器通过向过滤器管理器注册它选择过滤的 I/O 操作，间接地连接到文件系统栈。每个迷你过滤器都会根据过滤器要求和负载顺序组分配一个微软指定的 “整数 “高度值。 wcifs 驱动程序的高度范围为 180000-189999（特别是 189900），而反病毒过滤器（包括第三方的反病毒过滤器）的高度范围为 320000-329999。因此，可以在不触发回调的情况下执行各种文件操作。 Avinoam解释说：因为我们可以使用IO_REPARSE_TAG_WCI_1重新解析标签覆盖文件，而无需检测防病毒驱动程序，所以它们的检测算法不会接收整个图片，因此不会触发。 尽管如此，实施这种攻击需要有管理权限才能与 wcifs 驱动程序通信，而且不能用它来覆盖主机系统上的文件。 在披露这一消息的同时，网络安全公司还展示了一种名为 “NoFilter “的隐蔽技术，该技术可滥用 Windows 过滤平台（WFP）将用户权限提升至 SYSTEM，并可能执行恶意代码。 这些攻击允许使用 WFP 复制另一个进程的访问令牌，触发 IPSec 连接，利用打印线轴服务将 SYSTEM 令牌插入表中，并有可能获得登录到被入侵系统的另一个用户的令牌，以进行横向移动。     转自Freebuf，原文链接:https://www.freebuf.com/news/376704.html 封面来源于网络，如有侵权请联系删除