研究人员披露了 Windows 事件日志漏洞:LogCrusher 和 OverLog
Hackernews 编译,转载请注明出处: 网络安全研究人员披露了微软Windows中两个漏洞的详细信息,其中一个漏洞可能被利用来导致拒绝服务(DoS)。 这些漏洞被Varonis称为LogCrusher和OverLog,针对事件日志远程处理协议(MS-EVEN),该协议允许远程访问事件日志。 Dolev Taler在与the Hacker News分享的一份报告中表示,虽然前者允许“任何域用户远程崩溃任何Windows计算机的事件日志应用程序”,但OverLog通过“填充域上任何Windows计算机的硬盘空间”导致DoS。 OverLog被分配了CVE标识符CVE-2022-37981(CVSS评分:4.3),并由微软作为其10月补丁周二更新的一部分进行了处理。然而,LogCrusher仍未解决。 “性能可以被中断和/或降低,但攻击者不能完全拒绝服务。”这家科技巨头在本月早些时候发布的关于该漏洞的公告中表示。 根据Varonis的说法,这些漏洞在于攻击者可以获得旧版Internet Explorer日志的句柄,从而有效地为利用该句柄使受害者计算机上的事件日志崩溃甚至引发DoS条件的攻击奠定了基础。 这是通过将其与日志备份功能(BackupEventLogW)中的另一个漏洞相结合来实现的,该功能可将任意日志重复备份到目标主机上的可写文件夹中,直到硬盘驱动器被填满。 此后,Microsoft通过限制本地管理员访问Internet Explorer事件日志来修复OverLog漏洞,从而减少了滥用的可能性。 “虽然这解决了这组特定的Internet Explorer事件日志漏洞,但其他用户可访问的应用程序事件日志仍有可能同样用于攻击。”Taler说。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
新的 Windows 搜索零日漏洞可被远程托管恶意软件利用
安全研究人员发现了一个新的Windows Search零日漏洞,攻击者可以通过启动Word文档来加以利用。该漏洞将允许威胁行为者自动打开一个搜索窗口,其中包含受感染系统上远程托管的恶意可执行文件。 由于Windows的URI协议处理程序“search-ms”可以使用应用程序和 HTML 链接在设备上进行自定义搜索,因此利用此漏洞是可能的。尽管该协议旨在促进使用本地设备索引的 Windows 搜索,但黑客可以强制操作系统在远程主机上执行文件共享查询。 不仅如此,威胁参与者还可以利用此漏洞为搜索窗口使用自定义标题。在成功的攻击中,犯罪者可以配置远程Windows共享托管恶意软件,伪装成补丁或安全更新,然后将恶意 search-ms URI包含在网络钓鱼电子邮件或附件中。然而,让目标打开这样的链接对攻击者来说可能具有挑战性。尝试打开URL会在系统上触发警告,提醒用户某个站点正在尝试访问Windows资源管理器。 在这种情况下,用户需要通过单击附加按钮来确认他们的操作。然而,正如安全研究员 Matthew Hickey 所证明的那样,将 search-ms 协议处理程序与另一个新发现的 Office OLEObject 漏洞配对可以让黑客通过简单地打开 Word 文档来启动自定义搜索窗口。要使漏洞利用,用户需要打开诱饵 Word 文档,然后从自定义搜索窗口启动恶意可执行文件共享。攻击者可以将可执行文件伪装成关键的安全更新,诱骗用户在他们的系统上启动它。更糟糕的是,Hickey 还展示了攻击者可以创建富文本格式 (RTF) 文件,通过资源管理器中的预览选项卡自动启动自定义 Windows 搜索窗口,而无需打开文档。 安全研究人员建议对新发现的漏洞采取以下缓解措施: 1、以管理员身份运行命令提示符 2、在CMD中运行reg export HKEY_CLASSES_ROOT\search-msfilename备份注册表项reg 3、在CMD中执行reg delete HKEY_CLASSES_ROOT\search-ms /f Windows Search漏洞是在关键的Microsoft Office零日漏洞“Follina”出现后不久发现的。后者可以通过Microsoft诊断工具(MSDT)在PowerShell远程代码执行攻击中被利用。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/335311.html 封面来源于网络,如有侵权请联系删除
微软修复了所有 Windows 版本中的新 NTLM 零日漏洞
微软于近期解决了一个积极利用的Windows LSA零日漏洞,未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA(Local Security Authority的缩写)是一个受保护的Windows子系统,它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John报告的,据调查,该漏洞在野已被利用,似乎是PetitPotam NTLM中继攻击的新载体。 安全研究员GILLES Lionel于2021年7月发现该变体,且微软一直在阻止PetitPotam变体,不过官网的一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此,微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施,以获取有关保护其系统免受CVE-2022-26925攻击的信息。 通过强制认证提升权限 通过使用这种新的攻击向量,威胁行为者可以拦截可用于提升权限的合法身份验证请求,这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞,他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。 微软在其发布的公告中解释:未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器,但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响,因为它们会破坏某些供应商的备份软件。 CVE-2022-26925影响所有Windows版本,包括客户端和服务器平台,从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday,微软已经和其他两个漏洞一起修补了该零日漏洞,一个是Windows Hyper-V 拒绝服务漏洞 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC 驱动程序漏洞 (CVE-2022-29972)。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/332788.html 封面来源于网络,如有侵权请联系删除
微软 Windows 受到 Hafnium 恶意软件 “Tarrask” 的集团化攻击
对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用”Tarrask”恶意软件来瞄准并不断削弱Windows操作系统的防御能力。 微软检测和响应小组(DART)在一篇博文中解释说,Hafnium集团正在利用Tarrask这种”防御规避恶意软件”来规避Windows的防御,并确保被破坏的环境保持脆弱。 随着微软继续追踪高优先级的国家支持的威胁行为者HAFNIUM,我们发现了新的活动,利用未修补的零日漏洞作为初始载体。进一步的调查显示了使用Impacket工具执行取证,并发现了一个名为Tarrask的防御规避恶意软件,它创建了”隐藏”的计划任务,并随后采取行动删除任务属性,以掩盖计划任务的传统识别手段。 微软正在积极跟踪Hafnium的活动,并意识到该组织正在利用Windows子系统内的新的漏洞。该组织显然是利用了一个以前未知的Windows漏洞,将恶意软件隐藏在”schtasks /query”和任务调度程序中。 该恶意软件通过删除相关的安全描述符注册表值成功地逃避了检测。简单地说,一个尚未打补丁的Windows任务调度程序错误正在帮助恶意软件清理其踪迹,并确保其磁盘上的恶意软件有效残余尽可能地不显示出相关性,展示出潜伏能力与迷惑性。其结果是,该组织似乎正在使用”隐藏的”计划任务,即使在多次重启后也能保留对被入侵设备的访问。与任何恶意软件一样,即使是Tarrask也会重新建立与指挥和控制(C2)基础设施的中断连接。 微软的DART不仅发出了警告,而且还建议在Microsoft-Windows-TaskScheduler/Operational Task Scheduler日志中启用”TaskOperational”的日志。这有助于管理员从关键的资产中寻找可疑的出站连接。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1257621.htm 封面来源于网络,如有侵权请联系删除
恶意软件 Blister 秘密潜入 Windows 系统
Hackernews 编译,转载请注明出处: 安全研究人员发现了一个恶意攻击活动,该攻击活动借助有效的代码签名证书将恶意代码伪装成合法的可执行文件。 研究人员称之为Blister的有效载荷,充当其他恶意软件的加载程序,它似乎是一种新的威胁,具有较低的检测率。 Blister背后的攻击者一直依赖多种技术来监视他们的攻击,使用代码签名证书只是他们的伎俩之一。 签名、盖章、交付 Elastic搜索公司的安全研究人员发现,自9月15日以来,无论是谁幕后操纵着Blister恶意软件,都至少已经开展了三个月的活动。 攻击者使用了8月23日起有效的代码签名证书。它是由数字身份提供商Sectigo为一家名为Blist LLC的公司发行的,其电子邮件地址来自一家俄罗斯提供商Mail.Ru。 使用有效证书对恶意软件进行签名是攻击者多年前就会的老把戏。当时,他们常常从合法公司窃取证书。如今,攻击者要求使用他们所感染的公司或前线业务的详细信息获得有效的证书。 在本周的一篇博客文章中,Elastic表示,他们负责地向Sectigo报告了被滥用的证书,以便Sectigo可以撤销该证书。 研究人员说,攻击者依靠多种技术使攻击不被发现。一种方法是将Blister恶意软件嵌入合法库(例如colorui.dll)。 然后通过rundll32命令,用提升后的权限执行恶意软件。使用有效的证书进行签名并使用管理员权限进行部署会使安全解决方案失效。 Elastic研究人员说,在下一步中,Blister将从资源部分解码“严重模糊”的引导代码。十分钟里,代码处于休眠状态,可能是为了躲避沙箱分析。 然后,它通过解密提供远程访问并允许横向移动的嵌入式有效载荷Cobalt Strike和BitRAT开始行动,这两种载荷过去曾被多个攻击者使用。 该恶意软件通过ProgramData文件夹中的一个副本和另一个伪造的rundll32.exe实现持久性。它还被添加到启动位置,因此它在每次启动时都会作为explorer.exe的子项启动。 Elastic的研究人员发现了Blister加载器的签名版本和未签名版本,在VirusTotal扫描服务上,这两个版本的防病毒引擎的检测率都很低。 虽然这些初始感染媒介的攻击的目标尚不清楚,但通过结合有效的代码签名证书、嵌入合法库中的恶意软件以及在内存中执行的有效负载,攻击者成功攻击的机会增加了。 Elastic创建了一个Yara规则,用于识别Blister活动,并提供IOC,以帮助组织抵御威胁。 消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
所有 Windows 版本均受影响 Cisco Talos 发现一个高危提权漏洞
计算机安全组织 Cisco Talos 发现了一个新的漏洞,包括 Windows 11 和 Windows Server 2022 在内的所有 Windows 版本均受影响。该漏洞存在于 Windows 安装程序中,允许攻击者提升自己的权限成为管理员。 在发现该漏洞之后,Cisco Talos 集团升级了自己的 Snort 规则,该规则由检测针对一系列漏洞的攻击的规则组成。更新后的规则清单包括零日特权提升漏洞,以及针对浏览器、操作系统和网络协议等新兴威胁的新规则和修改后的规则。 利用该漏洞,拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本,这表明可能已经有黑客利用该漏洞发起攻击。 此前,微软的安全研究员 Abdelhamid Naceri 向微软报告了这个漏洞,据说在 11 月 9 日用 CVE-2021-41379 修复了该漏洞。然而,这个补丁似乎并不足以解决这个问题,因为这个问题仍然存在,导致Naceri在GitHub上发布了概念证明。 简单地说,这个概念证明显示了黑客如何利用微软Edge提升服务的酌情访问控制列表(DACL)将系统上的任何可执行文件替换为MSI文件。 微软将该漏洞评为”中等严重程度”,基本CVSS(通用漏洞评分系统)评分为5.5,时间评分为4.8。现在有了功能性的概念验证漏洞代码,其他人可以尝试进一步滥用它,可能会增加这些分数。目前,微软还没有发布一个新的更新来缓解这个漏洞。 (消息及封面来源:cnBeta)
Mozilla 已经在技术上穿透了微软在 Windows 中的默认浏览器保护措施
最近,Mozilla已经悄悄地使在Windows上切换到Firefox变得更加容易。虽然微软提供了一种在Windows 10上切换默认浏览器的方法,但它比简单的一键切换到Edge的过程更繁琐。这种一键式流程对微软以外的人来说并不可用,而Mozilla似乎已经厌倦了这种情况。 图片网址:https://static.cnbetacdn.com/article/2021/09/67575052607bdd6.gif 在8月10日发布的91版Firefox浏览器中,Mozilla对微软在Windows 10中把Edge设置为默认的方式进行了逆向工程,并使Firefox浏览器能够迅速使自己成为默认设定。在这一变化之前,Firefox浏览器的用户会被送到Windows 10的设置部分,然后你选择Firefox浏览器作为默认浏览器,从而忽略了微软Windows弹出的关于保留Edge默认设定的请求。 Mozilla的逆向工程意味着你现在可以在浏览器内将Firefox浏览器设置为默认浏览器,而且它在后台完成所有工作,没有额外的提示。这规避了微软对自己浏览器的保护措施,该公司在Windows 10中建立了这种保护措施,对外宣称以确保恶意软件无法劫持默认应用程序,而微软在Windows 11中使这一过程更加困难。 “人们应该有能力简单轻松地设置默认值,但他们没有,”Mozilla发言人在一份声明中说。”所有的操作系统都应该提供官方开发者对默认状态的支持,这样人们就可以轻松地将他们的应用程序设置为默认状态。由于这一点在Windows 10和11上没有发生,Firefox浏览器依靠Windows环境的其他方面给人们提供类似于Windows为Edge提供的体验。” 自2015年致微软的公开信以来,Mozilla一直试图说服微软改善Windows中的默认浏览器设置,但很显然微软方面没有对此作出任何回应,反倒让Windows 11切换默认浏览器变得更加困难。这似乎已经超出了Mozilla方面忍耐的极限,因此Mozilla在6月份Windows 11揭幕后不久就开始在Firefox中实施其变化。 到目前为止,Google、Vivaldi、Opera和其他基于Chromium的浏览器都没有跟随Mozilla的步伐,目前还不清楚微软究竟会如何回应。微软确实有一些真正与安全相关的理由来保护反劫持的恶意软件,但通过允许Edge轻松切换默认值,它破坏了竞争对手的浏览器供应商的公平竞争环境。 (消息及封面来源:cnBeta)
微软承认 Windows 存在可被恶意 Office 文件攻击的零日漏洞
微软已经承认所有版本的Windows存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在MSHTML中发现了一个远程代码执行漏洞,恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件,被承载浏览器渲染引擎的微软Office文档所使用。然后,攻击者需要说服用户打开该恶意文件。 该公司解释说:”那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。” 这个远程代码执行漏洞的标识符为CVE-2021-40444,是由不同网络安全公司的研究人员发现的,其中包括微软自家安全响应中心、EXPMON和Mandiant。该漏洞一旦被利用,就会影响到Internet Explorer的浏览器渲染引擎MSHTML,该引擎也被用来渲染Windows上Microsoft Office文件中基于浏览器的内容。 微软已经在进行修复工作,并计划在本月的补丁星期二或通过带外更新发布安全更新。同时,用户可以通过保持反恶意软件产品(即微软Defender系列)的运行来保护电脑。该公司还建议用户暂时禁用Internet Explorer中的ActiveX控件的安装,以减轻任何潜在的攻击。 如需要了解更多细节,请访问微软的安全咨询页面,了解有关这些变通和缓解的方法: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444 (消息及封面来源:cnBeta)
Windows 10 又现新漏洞
这些年来Windows 10出现了很多的诡异Bug。例如,就在前几天,我们报道过一个可能会破坏硬盘驱动器的错误。现在,一个导致Windows崩溃的bug的细节已经出现,但微软似乎并不急于修复它。 这个错误是由之前发现NTFS缺陷的同一位安全研究员Jonas Lykkegaard发现的。他发现通过访问Chrome浏览器中的某个路径,Windows 10会以BSoD(蓝屏死机)的方式崩溃。尽管Lykkegaard早在几个月前就公开了该漏洞的细节,但微软仍未拿出修复方案。 BSoD漏洞非常容易执行,目前还不知道该漏洞的全部后果。Lykkegaard发现,使用Chrome访问路径\.\globalroot\device\condrv\kernelconnect会导致Windows 10中的BSoD崩溃。 BleepingComputer进行的测试显示,从Windows 10版本1709一直到20H2的每一个版本的Windows 10中都可以发现这个bug,很大可能也影响旧版本。 虽然像这样简单的崩溃可能看起来相当无害,但它是一些可以被攻击者利用以掩盖其他活动,或阻止受害者使用他们的计算机。这个错误甚至可以通过简单地给受害者发送一个指向问题路径的快捷方式文件来触发。 在给BleepingComputer的一份声明中,微软表示。”微软有客户承诺调查报告的安全问题,我们将尽快为受影响的设备提供更新”。尽管有这样的承诺,但没有迹象表明相当何时可能提供修复。 (消息及封面来源:cnBeta)
谷歌 Project Zero 披露了 Windows 中的严重安全漏洞
谷歌 “零号项目 “专门用来发现该公司自己软件以及其他公司软件中的漏洞,并私下向供应商报告,在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度,它有时还会以宽限期的形式提供额外的天数。在过去几年中,在厂商无法及时修补后,谷歌 “零号项目 “安全团队已经披露了多个安全漏洞。 访问漏洞细节: https://bugs.chromium.org/p/project-zero/issues/detail?id=2096 这包括高通Adreno GPU驱动、微软Windows、苹果macOS等当中存在的漏洞。现在,它公开披露了Windows中的一个安全漏洞,如果被人利用,会导致权限提升。 谷歌 “零号项目 “安全人员表示,恶意进程可以向splwow64.exe Windows进程发送本地过程调用(LPC)消息,攻击者可以通过它向splwow64内存空间中的任意地址写入任意值。这本质上意味着攻击者控制了这个目标地址和任何被复制到该地址的内容。 这个漏洞并不完全是新的。事实上,卡巴斯基的一位安全研究人员在今年早些时候就报告了这一问题,微软早在6月份就打了补丁。不过,这个补丁现在已经被Google Project Zero的Maddie Stone认定为不完整,他表示,微软的修复只会改变指向偏移量的指针,这意味着攻击者仍然可以使用偏移量值来攻击它。 9月24日,Google Project Zero私下向微软报告了零日的情况,标准的90天期限将于12月24日到期。微软最初计划在11月发布修复程序,但该发布时间段随后滑落到12月。之后,它告诉谷歌,它在测试中发现了新的问题,现在它将在2021年1月发布一个补丁。 12月8日,双方开会讨论了进展和下一步的计划,其中确定不能向微软提供14天的宽限期,因为该公司计划在2021年1月12日的补丁周二发布补丁,比宽限期多出6天。Project Zero团队计划在明年再次重新审视政策,但已经公开披露了该漏洞与概念验证代码。技术报告还不清楚这影响到哪些版本的Windows,但卡巴斯基几个月前的报告显示,攻击者一直在利用它来攻击新版本的Windows10。 (消息来源:cnBeta;封面来源于网络)