近日，大量Windows用户在安装微软8月2日发布的Windows11和Windows10系统更新（KB5029351预览版）后遭遇蓝屏死机问题，错误提示为：“UNSUPPORTED_PROCESSOR”（不支持的处理器）： 微软上周三首次承认了更新存在缺陷，称受影响的平台包括Windows11 22H2和Windows10 21H2/22H2。微软补充说，有缺陷的可选更新“可能会自动卸载，以允许Windows按预期启动”，并警告客户不要重新安装它，以避免出现进一步的问题。 但本周一微软态度转变，声称最近困扰部分Windows用户的蓝屏死机问题并不是由2023年8月发布的可选更新中的问题引起的。相反，微软暗示其根本原因是部分设备固件的不兼容问题。 微软表示：“在调查这些报告后，我们发现‘UNSUPPORTED_PROCESSOR’错误不是由KB5029351中的问题引起的，并且仅限于特定的处理器子集。” 微软建议用户：如果继续遇到（蓝屏死机）问题，应联系其设备的处理器制造商（例如英特尔和AMD）。但有趣的是，虽然蓝屏错误提示为“不受支持的处理器”，但目前只有中国台湾主板厂商微星公司（MSI）正式确认其某些主板型号的用户可能会受到此已知问题的影响。 微星上周正式确认使用其部分型号主板的Windows用户在安装8月的可选预览更新后蓝屏死机(BSOD)问题激增。微星建议已更新了系统并受到蓝屏影响的用户将主板BIOS恢复到以前的版本并卸载可选的（8月）Windows更新。 微星上周五表示：“已收到多份报告，称用户在安装Windows11更新KB5029351预览版后，MSI600/700系列主板用户遇到蓝屏死机问题，错误消息为‘UNSUPPORTED_PROCESSOR’。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/9tNkrvEeBGfMysaYW3rekg 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，网络安全公司 Deep Instinct 的安全研究人员发布了一个滥用Windows筛选平台（ WFP) 来提升用户权限的工具NoFilter，能将访问者的权限增加到Windows上的最高权限级别——SYSTEM权限。 该实用程序在后利用场景中非常有用，在这种场景中，攻击者需要以更高的权限执行恶意代码，或者在其他用户已经登录到受感染设备时在受害者网络上横向移动。 微软将WFP 定义为一组 API 和系统服务，为创建网络过滤应用程序提供平台。开发人员可以使用 WFP API 创建代码，在网络数据到达目的地之前对其进行过滤或修改，这些功能在网络监控工具、入侵检测系统或防火墙中可见。 研究人员开发了三种新的攻击来提升的权限，既不会留下太多证据，也不会被众多安全产品检测到。 复制访问令牌 第一种方法允许使用 WFP 复制访问令牌，即在线程和进程的安全上下文中识别用户及其权限的代码片段。当线程执行特权任务时，安全标识符会验证关联的令牌是否具有所需的访问级别。 安全研究员解释称，调用 NtQueryInformationProcess 函数可以获取包含进程持有的所有令牌的句柄表。这些令牌的句柄可以复制，以便另一个进程升级到 SYSTEM。Windows 操作系统中一个名为 tcpip.sys的重要驱动程序 具有多个函数，可以通过设备 IO 请求向 WPF ALE（应用程序层执行）内核模式层调用这些函数，以进行状态过滤。NoFilter工具 通过这种方式滥用WPF来复制令牌，从而实现权限提升。 研究人员表示，通过避免调用 DuplicateHandle，可以提高隐蔽性，并且许多端点检测和响应解决方案可能会忽视恶意操作。 获取系统和管理员访问令牌 第二种技术涉及触发 IPSec 连接并滥用 Print Spooler 服务以将 SYSTEM 令牌插入表中。使用 RpcOpenPrinter 函数按名称检索打印机的句柄。通过将名称更改为“\\127.0.0.1”，该服务将连接到本地主机。在 RPC 调用之后，需要向 WfpAleQueryTokenById 发出多个设备 IO 请求才能检索 SYSTEM 令牌。 研究人员表示，这种方法比第一种方法更隐蔽，因为配置 IPSec 策略通常是由网络管理员等合法特权用户完成的操作。 第三种方法允许获取登录到受感染系统的另一个用户的令牌，以进行横向移动。研究人员表示，如果可以将访问令牌添加到哈希表中，则可以使用登录用户的权限启动进程。为了获取令牌并以登录用户的权限启动任意进程，研究人员滥用了 OneSyncSvc 服务和 SyncController.dll，它们是攻击性工具领域的新组件。 检测建议 黑客和渗透测试人员很可能会采用这三种方法，但Deep Instinct也给出了如下缓解措施： 配置与已知网络配置不匹配的新 IPSec 策略。 当 IPSec 策略处于活动状态时，RPC 调用 Spooler/OneSyncSvc。 通过多次调用 WfpAleQueryTokenById 来暴力破解令牌的 LUID。 BFE 服务以外的进程向设备 WfpAle 发出设备 IO 请求。     转自Freebuf，原文链接:https://www.freebuf.com/news/376019.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 最近的Discord.io漏洞表明，游戏社区成为了越来越有吸引力的目标，因为他们经常使用高性能的机器，并且有资源可以窃取。DomainTools的研究人员写道，大多数恶意软件的目标是Windows系统，并通过Discord发送。可能需要格式化磁盘并重新安装操作系统才能解决恶意攻击。 利用Discord.io漏洞，恶意行为者可以挖掘被入侵的账户和社区列表，以确定可能的感染目标。 研究人员警告说:“只需点击一下，目标玩家的电脑就能被完全破坏。电脑通常被安上信息窃取程序，但远程访问木马、加密矿工或其他恶意软件也可能被释放出来。” 如果发生这种情况，用户不应该浪费时间试图用好的软件来清除有害的软件。 DomainTools研究和数据副总裁肖恩•麦克尼表示:“有时候，解决的唯一途径就是从头开始重新格式化机器——重新组装和铺路（nuke and pave）。” 为什么擦除硬盘是最好的方法 “Nuke and pave”意味着彻底清除受感染设备的硬盘驱动器，从而删除所有数据和软件，然后重新安装一个干净版本的Windows。但事情并不总是那么简单，因为网络骗子正在寻找隐藏他们肮脏代码的新方法。 恶意软件通常会深入到系统中，躲避监控，还可能包括防御防篡改措施。 尽管你会努力尝试使用杀毒软件来清除受感染的系统病毒，但你永远无法完全确定你是否已经清理干净。研究人员警告说:“事实上，你可能经常运行多个反病毒产品—每个产品都得意洋洋地向你报告‘没有发现恶意软件’，结果系统仍然表现出不可否认的严重的问题。” 如今，用户必须牢记，即使是重新格式化驱动器和重新安装系统也变得更加复杂。 DomainTools的研究人员写道:“我们知道你会给你的系统消毒(尽管我们都知道这行不通)。” 在这种情况下，研究人员建议用户了解不同类型的恶意软件之间的细微差别。它可能是机器人程序、真正的计算机病毒、蠕虫、后门、特洛伊木马、rootkit、潜在的不需要的程序、广告软件、犯罪软件、勒索软件、间谍软件等，不同类型决定了清洁工具的不同。 你必须“为清洁工作选择正确的工具并确保设置了所有正确的选项，”研究人员警告说：“许多杀毒软件供应商只使用一个工具，并未提供一个全面的方法来发现和清除所有类型的恶意软件。” 此外，用户应该扫描其系统上的所有数据卷（volumes）。但即便如此，目前无论使用什么工具都无法得到保证。例如，即使杀毒产品宣称计算机是干净的，最好的做法也是使用其他工具(如MalwareByte的ADWCleaner)检查系统中留下的与恶意软件相关的工件。 研究人员注意到:“在一台感染了Discord恶意软件的样本电脑上，ADW发现并标记了三个注册表项，但没有删除。” 恶意软件作者以操纵注册表项而闻名。注册表中有问题或混淆的设置可能被深埋，难以修复。例如，搜索劫持恶意软件可能会将浏览器的默认搜索引擎更改为向劫持者支付重新路由流量的搜索引擎。 其他恶意软件可能隐藏在浏览器扩展中，这些扩展可能被防病毒软件扫描，也可能不被扫描，并且可能在启动时通过主要通过msconfig可见的条目自动启动并在后台运行。恶意软件的创建者一直在寻找新的方法来在受感染的系统上实现“持久性”。 为什么是游戏玩家?为什么是Discord? 攻击者已经进行了成本效益分析，而游戏玩家在他们的清单上名列前茅。 首先，游戏电脑通常比非游戏电脑更强大，而且往往拥有一流的网络连接。如果攻击需要付出同等精力，网络犯罪分子将瞄准更快的系统来安装他们的加密矿工，控制中心或其他货币化选项。 游戏电脑通常不受保护，因为防病毒软件和其他措施可能会“减慢系统速度”。 Discord是一款面向游戏玩家的即时通讯服务，免费且广受欢迎，拥有超过1.5亿活跃用户。该软件的通信是加密的，因此流量对网络监控和攻击检测工具是隐藏的。Discord的用户拥有可以被攻击者变现的资产。 Sophos将Discord描述为一个“粗鲁的社区”和“恶意软件的垃圾场”。甚至对于没有托管在Discord上的恶意软件，Discord API也是恶意命令和控制网络功能的沃土，这些功能隐藏在Discord的tls保护的网络流量中。 一种流行的攻击方式是“新游戏”，当队友或其他人要求尝试新软件时，这实际上可能是恶意软件。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

据《印度教徒报》报道，印度将放弃微软系统，选择新的操作系统和端点检测与保护系统。 备受期待的 “玛雅操作系统 “将很快用于印度国防部的数字领域，而新的端点检测和保护系统 “Chakravyuh “也将一起面世。 不过，印度国防部尚未证实此事，也未发布官方消息。 玛雅操作系统与印度国防部 由于微软产品经常出现漏洞，一个拥有 14.86 亿人口的国家不能忽视这些漏洞带来的影响。 虽然大部分国防计算机是不联网的，但仍然有相当数量的计算机是相互连接的，因此很容易受到网络威胁。 众所周知，国家支持的高级持续威胁（ATP）组织以这些系统为目标，旨在提取敏感信息或建立未经授权的网络访问，以开展网络间谍活动。 据报道，为了应对这些不断变化的网络挑战，国防部正考虑在所有连接互联网的计算机上用本土的”玛雅“ 操作系统取代微软操作系统。 ”玛雅“ 操作系统是一个基于 Linux 的发行版，从流行的 Ubuntu 操作系统中汲取灵感。 预计这一过渡将是无缝的，因为与其他 GUI（图形用户界面）操作系统一样，”玛雅“ 操作系统将提供与 Windows 相似的用户界面和功能。 据报道，”玛雅“ 操作系统将在印度独立日（即 8 月 15 日）之前在南区实施。 印度旨在利用”玛雅“ 操作系统提高安全性 印度陆军、海军和空军已经对新操作系统进行了严格评估，海军已经批准。 同时，陆军和空军正在进行全面评估。据 Gizbot 报道，一旦这些评估结束，三个军种都准备将 ”玛雅“ 操作系统集成到其服务网络中。 在向玛雅操作系统过渡的同时，还引入了 “Chakravyuh”，这是一种先进的端点恶意软件检测和保护系统。这种双管齐下的方法有望遏制针对国家数字安全的网络攻击的增加。 国防部之所以决定采用这些先进技术，是因为认识到网络威胁的不断升级。 尽管微软 Windows 操作系统广为人知，而且用户界面友好，但一些漏洞和漏洞利用，以及威胁行为者不断将 Windows 机器作为攻击目标的事实，迫使印度在玛雅操作系统和 Chakravyuh 端点安全的帮助下制定新的方针。 印度国防部正准备进行一次重大的技术变革，有可能告别微软 Windows，迎来 “玛雅 “操作系统时代。 在部署先进的 “Chakravyuh “保护系统的同时，此举标志着印度在捍卫国家数字主权方面迈出了大胆的一步。     转自Freebuf，原文链接:https://www.freebuf.com/articles/374535.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 1999年推出的Microsoft Active Directory是Windows网络中的默认身份和访问管理服务，负责为所有网络端点分配和执行安全策略。有了它，用户可以跨网络访问各种资源。随着时间的推移，事情往往会发生变化。几年前，微软推出了Azure Active Directory，这是基于云的AD版本，用以扩展AD范例，为组织提供跨云和本地应用程序的身份即服务(IDaaS)解决方案。(请注意，截至2023年7月11日，该服务已更名为Microsoft Entra ID，但为了简单起见，我们将在本文中将其称为Azure AD)。 Active Directory和Azure AD对于本地、基于云和混合生态系统的功能至关重要，也在正常运行时间和业务连续性方面发挥着关键作用。随着90%的组织使用该服务进行员工身份验证、访问控制和ID管理，它已成为打开网络城堡的钥匙。 Active Directory，不太妙 作为系统的中心，Active Directory的安全态势却十分可悲。 让我们快速浏览一下Active Directory的用户分配方式，这将揭示为什么这个工具存在我们所说的问题。 Active Directory所做的核心工作是建立具有与之关联的角色和授权的组。用户被分配一个用户名和密码，然后链接到他们的Active Directory帐户对象。使用轻量级目录访问协议，验证密码是否正确，并验证用户组。一般情况下，用户被分配到Domain User组，并被授予对域用户具有访问权限的对象的访问权限。然后是管理员——这些用户被分配到域管理员组。这个组具有很高的特权，因此被授权在网络中执行任何操作。 有了这些潜在的强大功能，确保以最佳方式管理和配置Active Directory是非常关键的。遗漏的补丁、糟糕的访问管理和错误的配置等问题可能会让攻击者访问最敏感的系统，这可能会带来可怕的后果。 在2022年，我们的内部研究发现，73%用于破坏关键资产的顶级攻击技术涉及管理不善或窃取凭证，而组织中超过一半的攻击包括一些Active Directory破坏元素。一旦他们在Active Directory中站稳脚跟，攻击者就可以执行大量不同的恶意操作，例如: 在网络中隐藏活动 执行恶意代码 提升权限 进入云环境危及关键资产 关键是，如果您不知道Active Directory中发生了什么，如果您缺乏适当的流程和安全控制，您可能会向攻击者敞开大门。 Active Directory攻击路径 从攻击者的角度来看，Active Directory是进行横向移动的绝佳机会，因为获得初始访问权限使他们可以利用错误配置或过度的权限，从低特权用户转移到更有价值的目标，甚至完全接管。 现在让我们来分析一下3种实际的Active Directory攻击路径，看看攻击者是如何通过这种环境的。 以下是我们在一个客户环境中遇到的攻击路径: 该组织致力于加强其安全态势，但Active Directory是一个盲点。在这种情况下，域中所有经过身份验证的用户(实际上是任何用户)都意外地获得了重置密码的权限。因此，如果攻击者通过网络钓鱼或其他社会工程技术接管了一个Active Directory用户，他们就可以为其他用户重置任何密码，并接管域内的任何帐户。一旦他们看到了这一点，他们终于明白他们的Active Directory安全方法需要升级，所以他们锁定并加强了他们的安全实践。 以下来自我们另一个客户的Active Directory： 我们通过身份验证用户组发现了攻击路径。该用户组可以将GPO策略的gPCFileSysPath更改为具有恶意策略的路径。 受影响的对象之一是AD用户容器，其子对象是属于Domain Admin组的用户。域内的任何用户都可以获得域管理权限——他们所需要的只是一个非特权用户成为网络钓鱼电子邮件的牺牲品，从而危及整个域。这可能会导致他们的系统完全妥协。 下面是更多案例： 首先，攻击者通过网络钓鱼邮件渗透企业环境，当打开这些邮件时，攻击者会使用未打补丁的机器漏洞执行代码。下一步是通过凭据转储技术利用受感染的Active Directory用户本地和域凭据。然后攻击者有权限将自己添加到一个组中，这样他们就可以将受感染的Active Directory用户添加到Active Directory帮助台组中。 帮助台组具有重置其他用户密码的Active Directory权限，在这个阶段，攻击者可以将密码重置为另一个用户的密码，最好是一个旧的、不再使用的admin用户。由于他们是管理员，他们就可以在网络中执行许多有害的活动，例如通过向Active Directory中的其他用户添加脚本登录来运行恶意代码。 这些只是攻击者在活动Active Directory中使用的一些相对简单的方法。通过了解这些实际的攻击路径，组织可以开始从攻击者的角度来看他们的Active Directory和AD Azure环境是什么样子。 结论 查看攻击路径可以帮助加固这些潜在的棘手环境。通过全面了解跨本地和云环境的Active Directory中存在的攻击路径，组织可以了解攻击者如何基于上下文理解其环境进行横向移动的；了解黑客是如何攻击和冒充用户、提升特权和获得对云环境的访问权的。 了解了这一点，组织就可以优先考虑真正需要修复的内容，并加强环境，以防止攻击者利用Active Directory的弱点。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Windows用户再次成为被称为LokiBot恶意软件的攻击目标，该恶意软件通过Office文档进行传播。 根据Fortinet安全研究员Cara Lin的最新报告，攻击者利用已知漏洞，如CVE-2021-40444和CVE-2022-30190，在微软Office文档中嵌入恶意宏。 这些宏一旦被执行，就会将LokiBot恶意软件投放到受害者的系统中，允许攻击者控制和收集敏感信息。 LokiBot是一个臭名昭著的木马程序，自2015年以来一直活跃，专门从受感染的机器中窃取敏感信息，主要针对Windows系统。 FortiGuard实验室对已识别的文件进行了深入分析，并探索它们传输的有效载荷以及行为模式。 根据调查显示，恶意文档采用了多种技术，包括使用外部链接和VBA脚本来启动攻击链。 LokiBot恶意软件一旦部署，就会使用规避技术躲避检测，并执行一系列恶意活动，从被入侵系统中收集敏感数据。 Viakoo公司Viakoo实验室副总裁John Gallagher在谈到新的攻击时说：这是LokiBot的新包装，相比之前更不容易被发现，并且能有效地掩盖其踪迹和混淆其过程，从而可能导致大量个人和商业数据外流。 为了防范此威胁，建议用户在处理 Office 文档或未知文件（尤其是包含外部链接的文件）时要更加谨慎。 Coalfire副总裁Andrew Barratt评论道，从解决方案和解决方法的角度来看，Microsoft是问题的根源，因此我们必须提醒用户保持安全防护产品为最新版本。 与此同时这也显示了电子邮件过滤解决方案的重要性，因为它可以在附件进入用户的收件箱之前主动扫描附件。     转自Freebuf，原文链接:https://www.freebuf.com/news/372237.html 封面来源于网络，如有侵权请联系删除

在Linux中广泛使用的PostScript语言和PDF文件开源解释器Ghostscript被发现存在严重远程代码执行漏洞。 该漏洞被标记为CVE-2023-3664，CVSS v3评级为9.8，影响10.01.2之前的所有Ghostscript版本，10.01.2是三周前发布的最新版本。 据Kroll公司的分析师G. Glass和D. Truman称，他们针对该漏洞开发了一个概念验证（PoC）漏洞，在打开恶意特制文件时可触发代码执行。 考虑到许多Linux发行版都默认安装了Ghostscript，而且LibreOffice、GIMP、Inkscape、Scribus、ImageMagick和CUPS打印系统等软件也使用了Ghostscript，因此在大多数情况下，触发CVE-2023-3664的机会非常多。 Kroll还表示，如果Windows上的开源应用程序使用了Ghostscript的端口，那么该漏洞也会影响到这些应用程序。 Ghostscript漏洞 CVE-2023-3664漏洞与操作系统管道有关，管道允许不同的应用程序通过将一个应用程序的输出作为另一个应用程序的输入来交换数据。 问题源于Ghostscript中的 “gp_file_name_reduce() “函数，该函数似乎可以获取多个路径，并通过移除相对路径引用来简化路径以提高效率。 然而，如果向该漏洞函数提供特制的路径，它可能会返回意外的结果，从而导致覆盖验证机制和潜在的漏洞利用。 此外，当Ghostscript尝试打开一个文件时，它会使用另一个名为 “gp_validate_path “的函数来检查其位置是否安全。 然而，由于存在漏洞的函数会在第二个函数检查之前更改位置细节，因此攻击者很容易利用这个漏洞，迫使Ghostscript处理本应禁止的文件。 Kroll公司的分析人员创建了一个PoC，只要在任何使用Ghostscript的应用程序上打开EPS（嵌入式Postscript）文件，就会触发该PoC。 因此，如果你是Linux用户，建议升级到最新版本的Ghostscript 10.01.2。 如果你是在Windows上使用Ghostscript端口的开源软件，则需要更多时间来升级到最新版本。因此，建议在Windows中安装时格外小心。     转自Freebuf，原文链接:https://www.freebuf.com/news/371927.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，疑似名为 TA453 的伊朗黑客组织与一系列新鱼叉式网络钓鱼攻击有关，这些攻击使用恶意软件感染 Windows 和 macOS 操作系统。 Proofpoint 在一份报告中指出 TA453 使用各种云托管服务提供了一个新感染链，该链部署了新确定的 PowerShell 后门 GorjolEcho。一旦得到机会，TA453 就会移植其恶意软件，并试图启动一个名为 NokNok 的苹果风格的感染链。此外，研究人员发现 TA453 还在其无休止的间谍活动中使用了多角色模拟。 关于 TA453 TA453 也被称为 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda，是一个与伊朗伊斯兰革命卫队（IRGC）有关的网络威胁组织，至少自 2011 年以来一直活跃。 近期，网络安全公司 Volexity 强调黑客使用了一种名为 CharmPower（又名 GhostEcho 或 POWERSTAR）的 Powershell 植入物更新版本。2023 年 5 月中旬，Volexity 发现的某次网络攻击活动中，黑客团队向一家专注于外交事务的美国智库的核安全专家发送了钓鱼电子邮件，该专家发送了一个指向谷歌脚本宏的恶意链接，该链接将目标重定向到托管 RAR 档案的 Dropbox URL。 值得一提的是，文件中有一个 LNK 滴管，它启动了一个多阶段的过程，最终部署 GorjolEcho，然后显示一个诱饵 PDF 文档，同时秘密等待来自远程服务器的下一阶段有效载荷。一旦意识到受害目标使用的是苹果电脑后，TA453 就会调整其整个操作方式，发送第二封电子邮件，邮件中包含一个 ZIP 档案，嵌入了伪装成 VPN 应用程序的 Mach-O 二进制文件，但实际上是一个 AppleScript，它可以连接到远程服务器下载一个名为 NokNok 的基于 Bash 脚本的后门。 就 NokNok 而言，它能够获取多达四个模块，这些模块能够收集正在运行的进程、已安装的应用程序和系统元数据，并使用 LaunchAgent 设置持久性。这些模块“反映”与 CharmPower 相关模块的大部分功能。此外，NokNok 还共享了一些源代码，这些源代码与 2017 年该团伙使用的 macOS 恶意软件代码重叠。 TA453 攻击者还使用了一个虚假的文件共享网站，该网站可能会对访问者进行指纹识别，并作为追踪成功受害者的机制。 最后，研究人员表示 TA453 能够不断调整其恶意软件库，部署新的文件类型，并针对新的操作系统。     转自Freebuf，原文链接：https://www.freebuf.com/news/371343.html 封面来源于网络，如有侵权请联系删除

如果你本周上班打开电脑发现任务栏和开始菜单中常用的Windows程序快捷方式都不见了，不要惊慌，这只是微软的又一次安全更新导致的“乌龙事件”。 上周五，微软发布了Microsoft Defender签名更新，其中包括对攻击面减少（ASR）规则的更改，该规则在配置管理器中名为“阻止来自Office宏的Win32 API调用”，在Intune中则是“从Office宏代码导入Win32”。 总之，这个新规则能检测并阻止恶意软件使用VBA宏调用Win32 API。 但是很快，这个新规则就产生了严重的“副作用”，Windows自带的杀毒软件Defender开始不断误报，并从桌面、开始菜单和Windows任务栏中大量删除程序快捷方式（图标）。 快捷方式的“不翼而飞”在大量企业用户中引发混乱，企业环境普遍中断，用户无法快速启动其应用程序，Windows管理员们则手忙脚乱地为员工恢复快捷方式。 很快，微软紧急恢复了签名更新1.381.2164.0中的更改，但警告管理员，最新的签名可能需要数小时才能分发到所有环境。 微软发布PowerShell脚本批量修复快捷方式 周六早上，微软紧急发布了高级搜寻查询，以查找受影响的程序快捷方式，并发布了一个PowerShell脚本，为被影响最为严重的33个应用程序重建快捷方式。 如果您的企业也不幸中招，可以尝试微软发布在GitHub上的这个PowerShell脚本(链接在文末)，可为以下33个应用程序重建快捷方式： 该脚本将扫描HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\注册表项，以检查计算机上是否安装了上述可批量恢复快捷方式的33个程序。 然后，脚本将检查“开始”菜单中是否存在相应的快捷方式，如果没有，则重新创建。 如果你需要恢复快捷方式的程序不在上面这个列表里，可以修改PowerShell脚本中$programs数组添加其他应用程序。 Microsoft还发布了用Intune将此脚本部署到 Windows域设备的步骤。 对于那些希望手动重建快捷方式的人，Microsoft共享了以下步骤来修复程序： 修复Windows 10中的应用程序： 1. 选择“开始” >“设置”>“应用”>“应用和功能”。 2. 选择要修复的应用。 3. 选择应用名称下的“修改链接”（如果可用）。 4. 将启动一个新页面，并允许您选择修复。 修复Windows 11中的应用程序： 1. 在搜索栏中输入“已安装的应用程序”。 2. 单击“已安装的应用程序”。 3. 选择要修复的应用。 4. 点击“…”。 5. 选择“修改”或“高级选项”（如果可用）。 6. 将启动一个新页面，并允许您选择修复。 需要注意的是，上述方法花费更长的时间，因为在大多数情况下，它将重新安装整个程序。而且，并非所有应用程序都提供修复功能。 修复方案并不完美 虽然微软发布的PowerShell脚本能方便用户为部分应用程序重新创建快捷方式，但Windows管理员普遍反映该脚本存在很多弊端。 首先，该脚本默认只修复33个程序的快捷方式，不会为计算机上常用的大量其他应用程序重新创建快捷方式。 更为夸张的是，即便是微软Office这样的“亲儿子”程序，也没能搭上车。 一位Windows管理员抱怨说：“不幸的是，这个脚本不会恢复在用户端部署的微软Office快捷方式，这也是大多数365C2R的安装方式，同时也是通过Intune部署的M365的默认安装方式。很遗憾脚本并未提供支持。” 还有Windows管理员评论说，该脚本仅能在“开始”菜单中重新创建快捷方式，但无法恢复从Windows任务栏、快速启动工具栏或Windows桌面中删除的快捷方式。 另一位管理员则建议，用户其实可以通过从卷影副本中检索开始菜单、快速启动栏和桌面快捷方式来恢复它们。 用户还可以使用Shadow Explorer或ShadowCopyView等工具来检查快捷方式是否保存在以前的快照中，然后只需简单地将它们复制回系统驱动器。 对于拥有许多设备的用户，也可以尝试使用PowerShell从卷影副本中检查和恢复文件。 总体而言，微软本次安全更新的“乌龙事件”给大量Windows管理员和IT技术支持人员造成了巨大的混乱，他们面临手动重新创建快捷方式的繁琐任务。   转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/Qfv_fpOwToU0dNsKeWwp-A 封面来源于网络，如有侵权请联系删除

位于两个不同大洲的两家企业能有什么共同之处？ 配置不正确的微软服务器，每秒喷出数千兆字节的垃圾数据包，对毫无戒心的服务和企业造成分布式拒绝服务攻击（DDOS）。 这些攻击会严重破坏一个企业的运行，或者在某些情况下，在没有适当保护的情况下使其瘫痪，而这往往不是一个小企业所能承受的。 根据黑莲花实验室最近发表的一份报告，超过12000台运行微软域控制器与活动目录的服务器经常被用来放大DDoS攻击。 多年来，这一直是一场攻击者和防御者的战斗，很多时候，攻击者所要做的就是获得对僵尸网络中不断增长的连接设备列表的控制，并利用它们进行攻击。 其中一个更常见的攻击方法被称为反射。 反射是指攻击者不是用数据包淹没一个设备，而是将攻击发送到第三方服务器。 利用第三方错误配置的服务器和欺骗数据包，使攻击看起来是来自目标的。 这些第三方服务器在不知情的情况下，最终将攻击反映在目标上，往往比开始时大十倍。 在过去的一年里，一个不断增长的攻击来源是无连接轻量级目录访问协议（CLDAP），它是标准轻量级目录访问协议（LDAP）的一个版本。CLDAP使用用户数据报协议数据包来验证用户，并在签署进入活动目录时发现服务。 黑莲花公司的研究员Chad Davis在最近的一封电子邮件中这样说。 “当这些域控制器没有暴露在开放的互联网上时（绝大多数的部署都是如此），这种UDP服务是无害的。但是在开放的互联网上，所有的UDP服务都容易受到反射的影响。” 攻击者自2007年以来一直在使用该协议来放大攻击。 当研究人员第一次发现CLDAP服务器中的错误配置时，数量达到了几万个。 一旦这个问题引起管理员的注意，这个数字就会大幅下降，尽管自2020年以来，这个数字又急剧上升，包括根据黑莲花实验室的数据，在过去一年中上升了近60%。 黑莲花为运行CLDAP的组织提供了以下建议： 网络管理员应考虑不要将CLDAP服务（389/UDP）暴露在开放的互联网上。 如果CLDAP服务暴露在开放的互联网上是绝对必要的，则需要努力确保系统的安全和防御。 在支持TCP LDAP服务上的LDAP ping的MS Server版本上，关闭UDP服务，通过TCP访问LDAP ping。 如果MS Server版本不支持TCP上的LDAP ping，请限制389/UDP服务产生的流量，以防止被用于DDoS。 如果MS服务器版本不支持TCP的LDAP ping，那么就用防火墙访问该端口，这样就只有合法客户可以到达该服务。 安全专业人员应实施一些措施来防止欺骗性的IP流量，如反向路径转发（RPF），可以是松散的，也可以是严格的，如果可行的话。 黑莲花公司已经通知并协助管理员，他们在Lumen公司提供的IP空间中发现了漏洞。 微软还没有对这些发现发表评论。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7160648839798702628/ 封面来源于网络，如有侵权请联系删除