cnBeta.COM_中文业界资讯站

近日，安全专家发现了针对 Windows Subsystem for Linux（WSL）创建的恶意 Linux 安装文件，表明黑客正在尝试用新的方法来破坏 Windows 设备。这一发现强调了威胁者正在探索新的攻击方法，并将注意力集中在 WSL 上以逃避检测。

在 9 月的补丁星期二活动日中，微软共计修复了 66 处系统漏洞和 20 处 Microsoft Edge 中的 Chromium 安全漏洞。受影响的产品包括。Azure、Edge（Android、Chromium 和 iOS）、Office、SharePoint Server、Windows、Windows DNS 和 Windows Subsystem for Linux。

网络安全是很多组织的一个主要头痛问题，特别是在网络武器被私人公司出售的情况下。就在最近，我们了解到eCh0raix勒索软件正在威胁NAS设备，而PrintNightmare继续成为微软的噩梦，尽管该公司几天前刚刚发布了一个补丁，本应关闭这个漏洞。现在，在一篇详细的博客文章中，微软已经概述了企业需要采取的步骤，以加强他们对网络攻击的防御。这些方法中的大多数可以由全球任何规模的组织实施。

影响广泛的微软Windows的PrintNightmare漏洞事件拒绝结束，另一个版本的黑客攻击手法意味着任何用户都可以在他们的PC上绕过验证措施直接获得管理权限，甚至从一个级别很低的账户中也是如此。这一入侵方法是由Benjamin Delpy开发的。

几天前，法国安全研究人员 Gilles Lionel 披露了一种新式 NTLM 中继攻击。若得逞，黑客将接管域控制器或其它 Windows 服务器。随着 PetitPotam 概念验证代码的披露，这也成为了困扰企业网络管理员的一个新安全问题。

Windows 10 系统中被爆出存在本地提权漏洞 HiveNightmare，可访问注册表中不被允许访问的区域。黑客在获得访问权限之后可用于寻找登陆凭证、获得 DPAPI 解密密钥等等。这个漏洞同样存在于 Windows 11 系统中。

当微软认为他们的PrintNightmare漏洞事件影响已经结束时，另一攻击套路随之出现。MSRC刚刚发布了一个公告（CVE-2021-34481）通知系统管理员，尽管最近已经为他们的电脑打了针对PrintNightmare的补丁，但已经在外部发现了新的攻击方式，使他们的电脑再次暴露在容易受到攻击的情形下。

微软周四表示，一个以色列组织出售可以黑入Windows的工具。该组织名叫Candiru，它开发并销售软件，软件利用漏洞渗透到Windows平台。黑客工具向全球扩散，提供给大量不知名客户，他们利用软件瞄准各种公民社会组织，比如沙特异见团体、左倾印尼新闻媒体等。

几天前，我们了解到一个名为 "PrintNightmare"的新漏洞几乎影响到所有的Windows设备。它利用Windows Print Spooler服务的未受保护的功能来触发远程代码执行（RCE）。美国网络安全和基础设施安全局（CISA）强调它是一个关键漏洞，微软正在积极调查修复。现在，微软公司就此事提供了更多信息。

微软已就 Windows PrintNightmare 漏洞发出紧急警告，因其允许黑客在受害者 PC 上远程执行代码。由 CVE-2021-34527 安全公告可知，该漏洞利用了打印所需的 Windows Print Spooler 服务中的一个缺陷。目前微软正在对“不断发展的状况”进行评估，且 Sangfor 安全研究人员已经发布了概念利用证明。

第三方补丁开发商0patch已经介入帮助修复最近被安全研究人员意外泄露的PrintNightmare漏洞。虽然微软已经承认Windows Print Spooler存在安全漏洞，可能导致系统被远程入侵，但该公司只提供了解决方法，而没有提供补丁。因此，0patch--对在这种情况下提供帮助并不陌生--已经站出来，发布了自己的免费微补丁。

中国安全公司深信服（Sangfor）近日发现了名为 PrintNightmare 的零日漏洞，允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力，该公司还发布了概念证明代码。

微软目前正在强迫所有Windows 11用户转向支持TPM 2.0的电脑，希望这提供的加密安全将使恶意软件成为过去。然而，如果微软自己正式签署了恶意软件，从而让他们自由支配其操作系统，那么这一切都是徒劳的。微软已经承认签署了一个名叫Netfilter rootkit的恶意的内核驱动程序，它与一种游戏一起分发，可以与其来源的控制服务器进行通信。

微软为Windows 10发布了一个新的服务栈更新。KB5001205更新适用于1909版本及以上的操作系统，它解决了安全启动（Secure Boot）功能中的一个问题。除此之外，该更新修复了一个阻止另一个更新安装的问题，它还包括对服务堆栈的质量改进，以帮助Windows 10的整体更新体验。

微软已经修补了一个关键的零日漏洞，朝鲜黑客正利用这个漏洞以恶意软件为目标对安全研究人员进行攻击。

谷歌 "零号项目 "专门用来发现该公司自己软件以及其他公司软件中的漏洞，并私下向供应商报告，在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度，它有时还会以宽限期的形式提供额外的天数。在过去几年中，在厂商无法及时修补后，谷歌 "零号项目 "安全团队已经披露了多个安全漏洞。

如果你发现自己的浏览器在浏览页面经常出现一些“异常”的广告，那么就要注意可能是电脑无意中下载了恶意软件。微软今天警告称，一种新的恶意软件会感染用户的设备，然后修改浏览器及其设置，目的是偷偷的在搜索结果页面中插入广告。

上个月，谷歌Project Zero的安全研究人员公布了Windows中一个正在被积极利用的零日漏洞的细节。黑客利用Windows内核加密驱动安全漏洞（CVE-2020-117087）在Windows 7、8、10以及Windows Server 2008和更高版本中获得高权限。作为昨晚发布的 "补丁星期二"的一部分，微软目前已经发布了该漏洞的修复程序。

谷歌的 Project Zero 团队近日披露了存在于 Windows 系统中的零日漏洞，会影响从 Windows 7 至 Windows 10 Version 1903 系统版本。在博文中，谷歌表示已经有证据表明有攻击者利用该漏洞发起了攻击，可提升权限以执行远程代码。

安全研究人员本周五发布警告称，2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用，从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”，能让攻击者访问活动目录，以管理员身份创建、删除和管理网络账号。

在Windows Setup中存在一个安全漏洞，即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。

微软周一表示，伊朗国家支持的黑客目前正在现实世界的黑客活动中利用Zerologon漏洞。成功的攻击将使黑客能够接管被称为域控制器(DC)的服务器，这些服务器是大多数企业网络的核心，并使入侵者能够完全控制其目标。

美国每年10月都会举办 "国家网络安全意识月"活动。该活动最早是由国土安全部和国家网络安全联盟在2004年发起的，目的是围绕网络安全和保障建立更多的意识。随着2020年10月的到来，微软也宣布了自己的计划，以促进网络安全的重要性。

据外媒报道，在最近披露微软Windows服务器版本存在“严重”安全漏洞后，美国土安全部网络安全顾问组罕见地向政府部门发布了紧急警报。美网络安全与基础设施安全局(CISA)于当地时间周五晚间发布警告，其要求所有联邦部门和机构在周一之前立即对任何容易受到Zerologon攻击的Windows服务器进行补丁，称这对政府网络构成了不可接受的风险。

Microsoft Threat Protection (MTP)是一个在Microsoft 365环境中为组织提供跨域威胁检测和响应机制的平台。它从各个域的多个端点收集原始数据，并对其进行分析，以提供一个完整的攻击面视图，从而可以高效地检测、调查、预防和响应这些数据。微软今日公布了MTP的新API，表示该平台现在已经 "集成就绪"。

作为8月11日补丁周二的一部分，一个0day级别的漏洞被修复，它影响到Windows 7、Windows 8.1、Windows 10和几个Windows Server版本，微软还承认已经留意到利用此漏洞发生的攻击已经出现。这是操作系统中的一个欺骗漏洞，详情记录在CVE-2020-1464中，后果是黑客最终可以通过成功利用它来加载不当签名的文件。

据外媒报道，微软今日开始推出August 2020 Patch Tuesday（2020年8月周二）安全更新补丁。从Edge到Windows再到SQL Server、.NET Framework，这家公司为13款产品修复了120个漏洞。在本月修复的120个漏洞中，有17个漏洞被评为“严重”级别，还有两个零日漏洞--不过在微软提供今日补丁之前，黑客就已经利用了这些漏洞。

鉴于 SHA-1 哈密加密算法已经不再安全，微软也于昨日发出了公告 —— 2020 年 8 月 3 日起，微软下载中心将撤下基于 SHA-1 签名的内容。据悉，如果使用基于 SHA-1 哈希算法签名的数字证书，则 Windows 用户很可能成为网络钓鱼或中间人攻击的受害者。为确保安全，还请及时迁移至基于 SHA-2 哈希算法的安全连接。

近日，有研究人员展示了一种被称作“Thunderspy”的硬件攻击，其危险之处在于速度极快、且无法被常规安全措施给检测到。据悉，该攻击可轻松绕过英特尔的雷电（Thunderbolt）安全防护特性，允许攻击者从锁定并加密的 PC 上复制内存信息。好消息是，微软今日解释称，安全核心（Secured-core）可保护 Windows PC 不受 Thunderspy 等攻击的影响。

微软为何不使用Thunderbolt 3端口呢？这是因为他们认为Thunderbolt端口提供了直接访问PC内存的不安全访问，可能会导致各种漏洞和安全威胁。果不其然，近日安全研究人员Björn Ruytenberg演示了一种能够轻松绕过英特尔Thunderbolt安全功能，允许黑客从锁定和加密的PC中复制内存或者轻松绕过锁屏的破解方式。

如果黑客能够破解微软定制的Linux操作系统，微软将向黑客提供最高10万美元的奖励。这家软件巨头去年为其Azure Sphere操作系统构建了一个紧凑的定制版Linux，该操作系统旨在物联网（IoT）平台专用芯片上运行。该操作系统专门为该平台打造，基本服务和应用在沙盒中隔离运行，以确保安全。

谷歌的安全团队近日发现存在于Windows 10 May 2019（Version 1903）功能更新中的某个BUG，能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂，主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。

微软今天承认已经有黑客利用尚未公开的漏洞对所有尚处于支持状态的Windows设备发起了网络攻击，而且目前还没有针对该漏洞的安全补丁。在本周一发布的公告中，微软承认该漏洞属于“严重”（critical）级别，存在于Windows处理和渲染字体中。

在本月的补丁星期二活动日上，微软对所有受支持的Windows 10系统发布了累积更新，并对Edge、Internet Explorer和其他组件进行了安全改进。在活动日期间，网络上意外曝光了存在于SMBv3协议中全新蠕虫漏洞，为此今天微软发布了紧急更新对其进行了修复。

安全公司Sophos警告说，新的勒索软件攻击使用了易受攻击的技嘉驱动程序，试图闯入Windows系统，然后禁用正在运行的安全软件。该攻击基于2018年在技嘉驱动程序中发现的安全漏洞，该安全漏洞在CVE-2018-19320中有详细说明。

在1月14日的补丁星期二活动中，微软修复了存在于所有受支持Windows系统的严重高危安全漏洞。此漏洞由美国国家安全局（NSA）发现并披露给了Microsoft ， 漏洞编号为CVE-2020-0601。

Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击，该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件，并包含一个Monero挖矿软件，它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。

援引外媒KrebsonSecurity报道，在2020年1月的补丁星期二活动中，微软可能已准备好修复存在于Windows系统中的严重加密漏洞，而该漏洞能够让恶意程序伪装成为受信任的组件欺骗用户进行安装感染。而重点是，今天正式停止支持的Windows 7系统可能不会修复该漏洞。

微软和谷歌都已经在昨天发布软件更新用于修复部分安全漏洞，这其中就包括某个在野外已遭到利用的零日漏洞。这些零日漏洞由卡巴斯基发现但是高级黑客团体早已利用，黑客借助这些漏洞可以直接在计算机上安装间谍软件。而经过溯源后卡巴斯基指出无法将攻击者归于任何特定攻击者，但攻击者使用的部分代码与拉撒路集团有相似性。

网络安全公司OPSWAT进行的一项新研究表明，如今，赛门铁克公司，ESET和迈克菲开发的防病毒产品已成为大多数Windows用户的首选。OPSWAT数据显示，赛门铁克以13.56%的市场份额位居Windows反恶意软件市场之首，其中Symantec Endpoint Protection份额占10.75%。

自从幽灵、熔断漏洞大规模暴发，Intel在安全防护方面的步伐大大加快，除了产品更新换代，针对已有产品也不断推出新的微代码，并联合主板厂商、微软集成到BIOS、系统补丁里，产品涵盖也能追溯到十年前的早期酷睿。

微软发现全球数千台Windows电脑感染了一种新的恶意软件，该恶意软件下载并安装了node.js框架的副本，以将受感染的系统转换为代理，执行点击欺诈。该恶意软件被称为Nodersok或者Divergent，最初是在今年夏季发现的，通过恶意广告在用户电脑上强行下载HTA文件进行传播。

在2019年8月的补丁星期二活动日中，面向Windows 10发布累积更新的同时微软还修复了存在于Remote Desktop Services组件中的两个漏洞，微软认为这些漏洞是“wormable”。和两年前的WannaCry攻击类似，无需用户进行任何输入的情况下在网络的电脑之间传播恶意软件，因此这些补丁是非常重要的。

微软一直吹嘘自家 Azure 云基础设施的安全性，但近期的一份报告称，它还是很容易受到网络攻击。Check Point Research 指出，其在常用协议中发现了大约 12 个漏洞，导致数以百万计的微软云用户暴露在潜在的网络攻击之下。在本周早些时候举办的黑帽安全会议上，该公司指出远程桌面协议（RDP）漏洞或被别有用心的攻击者利用。

微软安全检测与响应团队（DART）的使命，旨在保护该公司的客户免受网络安全问题的影响，同时尽快修复可能出现的安全问题。今年 5 月，DART 团队发布了针对远程执行代码漏洞 —— CVE-2019-0708（又称 BlueKeep 远程桌面服务漏洞）的安全补丁。其严重性在于无需用户的交互，即有可能被攻击者所利用。

外媒报道称，微软悄然发布了一个提升 Windows 用户安全的补丁，修复了自 2012 年以来生产的英特尔 CPU 漏洞（涉及 Ivy Bridge 之前的芯片）。据悉，SWAPGS 漏洞有些类似于臭名昭著的幽灵（Spectre）和熔毁（Meltdown）芯片缺陷，由安全公司 Bitdefender 在一年前发现。在 BlackHat 安全会议上，其终于宣布已被修补。

安全研究员 Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员，负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞，目前，微软仍处于修复过程中。Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题，“微软承诺在 90 天内修复它，结果没有”。于是在第 91 天，Ormandy 选择了公开这个漏洞。

过去几个月，微软一直深受“沙箱逃逸”（SandboxEscaper）零日漏洞的困扰。因为黑客那边不按常理出牌，不仅没有给出 90 天的预备披露时间，还接二连三地抛出了针对 Windows 操作系统的特权提升漏洞。万幸的是，尽管准备工作有点仓促，该公司还是设法修复了已流出概念验证代码的五个漏洞中的四个，且目前尚无被人在野外利用的报道。

近日，外媒报道了微软 NTLM 协议中存在的新漏洞，或导致在任何 Windows 计算机上执行远程代码、或对任何支持 Windows 集成身份验证（WIA）的 Web 服务器（如 Exchange 和 ADFS）进行身份验证。具体说来是，Perrmpt 研究小组发现了由三个逻辑缺陷组成的两个严重漏洞，且所有 Windows 版本都易受到攻击影响。更糟糕的是，新漏洞可绕过微软此前已部署的缓解措施。

微软(Microsoft)发布警告称，针对欧洲地区的垃圾邮件活动正在利用一个漏洞执行攻击，只要打开附件文件就可能感染用户。微软称，这是一场针对欧洲地区的主动电子邮件恶意软件运动，散布了带有CVE-2017-11882漏洞的RTF文件，该漏洞允许攻击者自动运行恶意代码而不需要用户交互。

安全研究人员称，Windows 1903 更新中存在的网络身份验证（NLA）bug，可被攻击者利用来控制远程会话。据悉，NLA 旨在防止攻击者远程登录到用户的 Windows PC 。它会要求登录者提供必要的详情，以便进行身份验证。原本攻击者不应该知晓这些细节，除非你与外界进行了分享。

据外媒报道，如果你是一名在几周前发现Bluekeep漏洞后还没有更新系统的Windows用户，那么美国国安局(NSA)的警告或许会改变你这个想法。据了解，Bluekeep的漏洞堪比2007年的恶意软件WannaCry，后者给全球计算机系统造成了毁灭性的破坏并带来了数百万美元的损失。

近日有报道称，仍有百万台暴露于公网上的 PC 容易受到 BlueKeep 漏洞的威胁。这个存在于 Windows XP / 7 和 Server 2003 / 2008 等操作系统之中的远程桌面协议（RDP）漏洞，已经引发了许多人的关切。微软安全响应中心的事件响应主管 Simon Pope 呼吁，他们确信会有利用该漏洞的攻击事件发生，呼吁 IT 管理员立即采修复行动。

AV-TESTS安全专家最近进行了一系列杀毒测试，帮助用户选择Windows10设备上性能最佳的杀毒软件。其中BitDefender、F-Secure、Kaspersky Lab、McAfee和Symantec五种不同的安全产品在测试中获得18分满分，在保护、性能和可用性的三项测试中，每项都获得6分满分。

援引外媒SecurityWeek报道，将近100万台设备存在BlueKeep高危漏洞安全隐患，而且已经有黑客开始扫描寻找潜在的攻击目标。该漏洞编号为CVE-2019-0708，存在于Windows远程桌面服务（RDS）中，在本月的补丁星期二活动日中已经得到修复。

两天前名为SandboxEscaper的安全研究人员发布了一些针对Windows 10系统的零日漏洞，并承诺后续会公开更多Windows 10零日漏洞。昨天这名安全研究人员兑现承诺，又发布了四个零日漏洞，所幸的是其中的一个漏洞已经在本月的补丁星期二活动日中进行了修复。

如果你依然在使用联网的Windows XP或者Windows Server 2003系统，同时也包括Windows 7、Windows Server 2008以及2008 R2系统，那么应该立即安装微软刚刚推出的紧急修复补丁。为了修复不亚于Wannacry的RDP服务漏洞，微软于今天面向包括XP在内的上述系统发布了紧急修复补丁，要求用户尽快完成安装。

在4月9日发布的补丁星期二活动日中，微软修复了卡巴斯基发现的一个零日漏洞，如果被黑客控制可以获得控制系统的完整权限。该漏洞编号为CVE-2019-0859，是已经被黑客利用的Win32k提权漏洞，微软已经确认新旧Windows系统均受到影响。Windows 10十月更新（Version 1809）同样受到影响。

为了在不同环境中增强Windows 10系统的安全配置，微软近日在DEFCON评级的基础上推出了SECCON框架。从级别1的“管理员工作站”到级别5的“企业级安全”，整个框架的目的是为了简化和标准化安全性。虽然它并非一个通用的安全解决方案，但公司表示通过离散的规范性Windows 10安全配置来满足当代企业中的大多数常见设备使用情境。

如果您目前正在运行Windows 10并且对只有Windows Defender保护您的设备时感到不安全，那么您一定要查看专家在AV-TEST上进行的最新一轮防病毒测试。这项新研究最令人惊讶的地方在于，像BitDefender和Kaspersky这样知名安全供应商的解决方案没有获得最高分。