今年 9 月，本站曾报道 Microsoft Defender 中可通过命令行方式下载恶意文件；而现在，在 Windows Update 中也发现了类似的功能，从而也能被黑客滥用用于执行恶意文件。 援引外媒 Bleeping Computer 报道，MDSec 研究人员 David Middlehurst 发现，攻击者可以通过使用以下命令行选项从任意特制的 DLL 加载 wuauclt，从而在 Windows 10 系统上执行恶意代码：   wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer 该技巧绕过 Windows 用户帐户控制（UAC）或Windows Defender应用程序控制（WDAC），可用于在已经受到威胁的系统上获得持久性。之所以能够发现，是因为他发现已经有黑客利用这个漏洞执行攻击行为。     （稿源：cnBeta，封面源自网络。）

微软的Windows XP和Windows Server 2003的源代码已经在网上泄露。本周，这两个对公司而言具有历史意义的操作系统的源代码的Torrent文件已经被公布在各个文件共享网站上。这是Windows XP的源代码首次公开泄露，尽管早有消息声称这段代码已经被私下共享多年。 这些材料的真实性已经被核实，微软发言人告诉表示公司正在 “调查此事”。最新的源代码泄露不太可能对仍然停留在运行Windows XP机器的公司构成重大威胁。微软早在2014年就结束了对Windows XP的支持，不过该公司在2017年用一个极不寻常的Windows XP补丁来应对大规模的WannaCry恶意软件攻击。 这是Windows XP源代码首次公开出现，但源码并不是被严格保存的，微软曾经启动了一个特殊的政府安全计划（GSP），允许政府和组织有控制地访问源代码和其他技术内容。 这次最新的Windows XP源码泄露也并不是微软操作系统源代码第一次出现在网上。几年前至少有1GB的Windows 10相关源代码泄露，微软今年还面临一系列Xbox相关源代码的泄露。原始的Xbox和Windows NT 3.5源代码早在5月份就出现在网上，就在Xbox Series X图形源代码被盗并泄露到网上的几周后。 目前还不清楚这次泄露的源代码中包含了多少Windows XP源代码，但一位Windows内部专家称已经在其中找到了微软的NetMeeting用户证书根签密钥。 部分源代码泄露还参考了微软的Windows CE操作系统、MS-DOS以及其他泄露的微软资料。诡异的是，这些文件中还提到了比尔·盖茨的阴谋论，显然是想传播错误信息。     （稿源：cnBeta，封面源自网络。）

在 Zerologon 漏洞开始疯狂传播之后，美国国土安全局责令政府网络管理员责令政府网络管理员立即给 Windows Server 2008 及以上版本（包括 Windows 10 Server）打补丁。现在，微软也加入这一呼吁，表示：“微软正在积极跟踪 CVE-2020-1472 Netlogon EoP 漏洞（也被称之为 Zerologon）的活动情况，我们已经观测到有黑客利用该漏洞发起了攻击”。 该漏洞编号为 CVE-2020-1472，存在于 Windows Server 中 Active Directory 核心验证元件 Netlogon 远程协议（MS-NRPC）中，可让未经授权的攻击者借由和网域控制器建立 TCP 连线时，送入假造的 Netlogon 验证令符而登入网域控制器，进而完全掌控所有 AD 网域内的身份服务。 在 8 月的补丁星期二活动日中，微软修复了这个漏洞。虽然该漏洞的CVSS 评分为满分10分，但细节从未公开过，也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。 CISA已发布紧急指令20-04，指示联邦文职行政部门机构对所有域控制器应用微软Windows服务器2020年8月安全更新（CVE-2020-1472）。CISA 已经指示政府服务器在9月21日（本周一）之前打好补丁，同时也强烈敦促他们在州和地方政府、私营部门以及美国公众中的合作伙伴尽快应用这一安全更新。     （稿源：cnBeta，封面源自网络。）

作为8月11日补丁周二的一部分，一个0day级别的漏洞被修复，它影响到Windows 7、Windows 8.1、Windows 10和几个Windows Server版本，微软还承认已经留意到利用此漏洞发生的攻击已经出现。这是操作系统中的一个欺骗漏洞，详情记录在CVE-2020-1464中，后果是黑客最终可以通过成功利用它来加载不当签名的文件。 “存在一个欺骗漏洞可以令Windows错误地验证文件签名。成功利用该漏洞的攻击者可以绕过安全功能，加载不正当签名的文件。在攻击场景中，攻击者可以绕过旨在防止加载不当签名文件的安全功能。”微软表示，看起来这个缺陷从2018年起就存在。 KrebsOnSercurity透露，该欺骗漏洞最早是由VirusTotal的经理Bernardo Quintero向微软报告的，公司随后向他证实了这一发现。但是，”微软已经决定不会在当前版本的Windows中修复这个问题，并同意我们能够在博客上公开报道这个案例和我们的发现。”在引用源强调的一篇博客文章中如此描述。 安全研究员、KZen Networks的创始人Tal Be’ery也指出，有证据表明该缺陷在2018年夏天就被发现了，不知为何微软当时就决定不打补丁。 微软则回避了关于为什么要等到现在才打补丁的问题。但更糟糕的是，微软在2018年不发布修复程序，等到2020年8月才解决操作系统缺陷，这意味着本身就暴露在攻击之下的Windows 7设备不再获得补丁，因为其非付费性质的支持早在2020年1月就结束了。     （稿源：cnBeta，封面源自网络。）

谷歌旗下的 Project Zero 安全团队，以查找自家和其它公司开发的软件中的漏洞而被人们所熟知。理论上，在 90 天的宽限期内，接到通报的厂商有相对充裕的时间来完成修复。然而在现实生活中，偶尔也会有一些例外情况。比如近日，Project Zero 团队就因为微软修复不力，而选择在 90 天后公开披露 Windows 中的一个严重漏洞。 （来自：Google Project Zero） 过去几年，Project Zero 团队已经曝光过影响 Windows 10 S、macOS 内核、iOS 等平台的严重漏洞。 然而在昨日的“星期二补丁”中，研究人员声称微软未能提供一个完整的修复程序，于是决定公开一个影响各版本 Windows 的“中等”严重性漏洞。 据悉，Project Zero 于 2020 年 5 月 5 日首次将一个身份验证漏洞汇报给了微软 —— 即使应用程序不具备此功能，也可通过用户凭据来绕过网络身份验证。 在对枯燥的技术术语进行抽丝剥茧后，可知问题主要出在旧版 Windows 应用容器可通过单点登录、对用户授予企业身份验证的访问权限（这本该是个受限的敏感功能）。 虽然具有此类缺陷的应用程序不会通过 Windows Store 的审核，但许多企业仍在使用基于侧载的部署方案，因而该漏洞仍需要 Windows 用户提高警惕。 Project Zero 安全研究员 James Forshaw 指出：当应用程序向网络代理提起身份验证时，UWP 网络会错误地将之视作一个例外。 这意味着，只要为 InitializeSecurityContext 指定了有效的目标名称，AppContainer 便可执行网络身份验证，而无论网络地址是否已经代理注册。 结果就是，只要你的应用程序具有不受实际限制的网络访问功能，用户便可指定任意目标名称，对面向网络的资源进行身份验证。 同样的，由于你可指定任意目标名称、并且正在执行实际的身份验证，那注入 SPN 检查和 SMB 签名之类的服务器防护手段都将变得毫无意义。 从理论上来讲，由于防火墙 API 中存在后门，本地攻击者可借助经典版 Edge 浏览器访问本地主机服务、然后找到需要转义的系统服务，从而达到漏洞利用的目的。 更糟糕的是，这只是该漏洞缺陷的一部分。因为即便代理没有正确地处理网络地址，它仍可被绕过。 因其调用了 DsCrackSpn2，将服务类 / 实例：端口 / 服务名形式的网络目标名称划分成了各个组件。 Project Zero 团队甚至附上了概念验证（PoC）的代码，以展示应用程序是如何绕过企业身份验证、以获得更高的特权的。 PoC 尝试列出了 Windows Server 消息块（SMB）的共享，即使操作系统不允许此类访问，本地共享上仍会将它列出。 遗憾的是，尽管 Project Zero 团队为微软提供了标准的 90 天的缓冲、并于 7 月 31 日再次延展了宽限期，以便该公司可在 8 月 Patch Tuesday 推出该修复程序，但微软最终还是让我们感到失望。 该公司确实在昨日发布了 CVE-2020-1509 的修复程序，并对 James Forshaw 的发现表示了感谢，但 Project Zero 团队声称该公司并未彻底修复该缺陷，因其并未纠正 DsDrackSpn2 目标名称解析漏洞。 最终 Project Zero 决定在今日公布这个复杂的漏洞详情，即便普通的“脚本小子”无法轻易利用，但特权提升（即使是本地特权提升）也是相当危险的。 更具微软的安全公告，该问题影响多个 Windows 操作系统版本，包括 Windows Server 2012 / 2016 / 2019、Windows 8.1 / RT 8.1、以及直到 Version 2004 的 Windows 10 。     （稿源：cnBeta，封面源自网络。）

美国国土安全部（DHS）下属的网络安全部门本周四发布行政令，要求联邦民用机构立即对新发现的 Windows 漏洞 SIGRed 进行安全修复，理由是该漏洞对这些的机构的安全构成了“不可接受的重大风险”。 这是 DHS 下属的网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency，简称CISA）有史以来发布的第三道命令，要求各大机构在 24 小时内对用于域名系统的 Windows 服务器打补丁，或者部署其他的缓解方案。机构内并非用于 DNS，但受影响的服务器要在7月24日前打上补丁。 在指令是非常紧迫性的，CISA 强调：“基于该漏洞被利用的可能性，受影响软件在整个联邦企业中的广泛使用，机构信息系统被破坏的可能性很高，以及成功破坏的严重影响”。 Check Point的研究人员发现了Windows DNS的安全漏洞，并在5月份向微软报告。如果不打补丁，就会使Windows服务器容易受到攻击，不过微软指出，目前还没有发现这个缺陷被利用的证据。 “DNS服务器漏洞是一件非常严重的事情，”Check Point的漏洞研究团队负责人Omri Herscovici警告说。”这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织，无论大小，如果不打补丁，都会面临重大安全风险，最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上；既然我们能够发现这个漏洞，那么别人也已经发现了这个漏洞也不是不可能。”     （稿源：cnBeta，封面源自网络。）

微软警告称，该公司将一个17年前的Windows DNS服务器关键漏洞列为 “可蠕虫”。这样的漏洞可能允许攻击者创建特殊的恶意软件，在Windows服务器上远程执行代码，并创建恶意的DNS查询，甚至最终可能导致企业和关键部门的基础设施被入侵。 访问MSRC报告： https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/ “蠕虫漏洞有可能在没有用户交互的情况下，通过恶意软件在易受攻击的计算机之间传播，”微软首席安全项目经理Mechele Gruhn解释说。”Windows DNS服务器是一个核心网络组件。虽然目前还不知道这个漏洞是否被用于主动攻击，但客户必须尽快应用Windows更新来解决这个漏洞。” Check Point的研究人员发现了Windows DNS的安全漏洞，并在5月份向微软报告。如果不打补丁，就会使Windows服务器容易受到攻击，不过微软指出，目前还没有发现这个缺陷被利用的证据。 今天，在所有被支持的Windows Server版本中都提供了修复该漏洞的补丁，但系统管理员必须在恶意行为者根据该漏洞制造恶意软件之前，尽快给服务器打上补丁。 “DNS服务器漏洞是一件非常严重的事情，”Check Point的漏洞研究团队负责人Omri Herscovici警告说。”这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织，无论大小，如果不打补丁，都会面临重大安全风险，最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上；既然我们能够发现这个漏洞，那么别人也已经发现了这个漏洞也不是不可能。” Windows 10和其他客户端版本的Windows不受该漏洞的影响，因为它只影响微软的Windows DNS Server实现。微软还发布了一个基于注册表的工作方法，以防止管理员无法快速修补服务器时紧急处理缺陷。 微软在通用漏洞评分系统(CVSS)上给出了10分的最高风险分，强调了问题的严重性。作为对比，WannaCry攻击所使用的漏洞在CVSS上的评分为8.5分。     （稿源：cnBeta，封面源自网络。）

安全研究人员在Windows的Zoom客户端中发现了一个远程代码执行漏洞，从目前来看，只有安装了Windows 7的系统才会真正暴露在风险之下。在Zoom实际解决该漏洞之前，安全公司0patch先行发布了针对该漏洞的微补丁，该公司解释说，这一漏洞的危险性较高，远程攻击者只需说服用户执行一个简单的动作，比如打开一个文件，就可以利用该漏洞。 一旦恶意文件被加载，攻击者就可以发起RCE攻击，而受害者的电脑上不会显示任何警告。虽然该漏洞存在于所有Windows版本的Zoom客户端中，但只有Windows 7电脑会受到威胁。 “这个漏洞只在Windows 7和更早的Windows版本上可以利用。它很可能在Windows Server 2008 R2和更早的版本上也可以利用，尽管我们没有测试；但是无论是哪个系统，我们的微补丁都会保护你，无论你在哪里使用Zoom Client，”0patch指出。 随后，Zoom在其Windows客户端的5.1.3版本中修补了这个错误。之前安装了0patch发布的微补丁的用户在应用Zoom官方修复版时不需要做任何事情，因为微补丁本身会自动失效。 这个漏洞表明，始终运行受到支持的Windows版本是多么重要。Windows 7的官方支持在今年1月结束，这意味着这款来自2009年的操作系统不再能够从微软获得任何新的更新和安全补丁。额外的修复程序是通过定制的安全更新(收费提供)或使用0patch等第三方产品来运送的。     （稿源：cnBeta，封面源自网络。）

上月发布的 Windows 10 May 2020（20H1/Version 2004）功能更新在安全方面引入了诸多改进，其中就包括阻止潜在不必要程序（PUP/PUA）的能力。微软表示 PUP 包括各种类型的系统软件捆绑、驱动程序和注册表优化器等。 不过近日 Version 2004 用户反馈，即使在 PUP 应用程序被清理之后，Windows Security 应用程序依然会触发警报。在 PUP 应用程序被移除或者允许在 Windows 10 上运行之后，Windows Security 在随后的扫描中依然会检测到旧项目，造成错误的检测循环。 一位用户指出：“我在进行常规扫描时，发现这些威胁被高亮显示为低级，而且 Defender 无法删除它们，导致一直显示。我同样使用了 Malwarebytes 进行扫描，但这边并没有显示出来。” 看来，Windows Defender 已经被默认为在Windows 10 Version 2004 中识别 PUP 为威胁。在 PUP 被删除后，Windows Defender 在随后的历史记录扫描中又将同一文件识别为威胁。 想要修复这个问题，你需要通过以下步骤删除PUPs历史信息： 1.打开 “文件资源管理器”。 2.导航到C:/程序数据/Microsoft/Windows Defender/Scans/History/Service。 3.在服务文件夹中，删除PUP相关文件。 4.重启Windows并在Windows安全应用中进行快速扫描。     （稿源：cnBeta，封面源自网络。）  

在昨日的补丁星期二活动日中，微软宣布扩大 Windows 10 May 2020（20H1/Version 2004）的部署范围，邀请更多用户通过手动检查 Windows Update 更新的方式获得升级。尽管升级过程非常流畅，但是部分用户反馈在升级后导致优化存储的内置工具无法正常工作。 根据用户的反馈和外媒的复现测试，升级 Windows 10 Version 2004 功能更新会导致“磁盘优化”和“碎片整理和磁盘优化”工具出现问题。 磁盘优化是 Windows 10 系统内置的工具，允许用户对碎片文件进行碎片整理并解决性能问题。默认情况下，Windows 10每周都会自动对所有分区进行维护，你可以在 “优化驱动器 “工具中查看状态。 在升级 Windows 10 Version 2004 功能更新之后，磁盘优化工具虽然可以帮助用户解决性能问题，但不能报告正确的状态。 例如，磁盘优化工具会报告说并未在你的 PC 上运行扫描，在已经执行优化操作之后依然显示需要优化。这对于想要检查驱动器健康状况的管理员来说是个大问题，因为你无法发现你的驱动器是否经过优化。 但需要注意的是，这款工具的功能并没有损坏。，它仍然可以帮助用户自动或手动修复Windows性能问题。你可以通过以下步骤来验证优化/碎片和TRIM的状态。 1.打开 “开始 “菜单。 2.输入 “事件查看器 “并打开它。 3.在 “事件查看器 “中，导航到Windows日志>应用程序。 4.右键单击应用程序并单击 “过滤当前日志”。 5.在事件源下拉菜单中选择Defrag。 6.单击 “确定”。 中间的窗格会显示一个事件列表，点击它们会在预览窗格中显示详细信息。值得注意的是，作为Windows Insider计划的一部分，该bug已经被报告给微软，有用户要求公司不要运送带有该bug的更新。 事实上，这个 BUG 曾经在今年一月发布的 Windows 10 Build 19551 更新中已经得到了修复，但是尚不清楚为何会进入到稳定版本中。微软在2020年1月23日的一篇博文中指出：“感谢您报告了磁盘优化控制面板错误地显示优化没有进行的错误提醒。我们已经在这个Build版本中修复了它。”     （稿源：cnBeta，封面源自网络。）