cnBeta.COM_中文业界资讯站

上个月，谷歌Project Zero的安全研究人员公布了Windows中一个正在被积极利用的零日漏洞的细节。黑客利用Windows内核加密驱动安全漏洞（CVE-2020-117087）在Windows 7、8、10以及Windows Server 2008和更高版本中获得高权限。作为昨晚发布的 "补丁星期二"的一部分，微软目前已经发布了该漏洞的修复程序。

谷歌的 Project Zero 团队近日披露了存在于 Windows 系统中的零日漏洞，会影响从 Windows 7 至 Windows 10 Version 1903 系统版本。在博文中，谷歌表示已经有证据表明有攻击者利用该漏洞发起了攻击，可提升权限以执行远程代码。

安全研究人员本周五发布警告称，2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用，从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”，能让攻击者访问活动目录，以管理员身份创建、删除和管理网络账号。

在Windows Setup中存在一个安全漏洞，即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。

微软周一表示，伊朗国家支持的黑客目前正在现实世界的黑客活动中利用Zerologon漏洞。成功的攻击将使黑客能够接管被称为域控制器(DC)的服务器，这些服务器是大多数企业网络的核心，并使入侵者能够完全控制其目标。

美国每年10月都会举办 "国家网络安全意识月"活动。该活动最早是由国土安全部和国家网络安全联盟在2004年发起的，目的是围绕网络安全和保障建立更多的意识。随着2020年10月的到来，微软也宣布了自己的计划，以促进网络安全的重要性。

据外媒报道，在最近披露微软Windows服务器版本存在“严重”安全漏洞后，美国土安全部网络安全顾问组罕见地向政府部门发布了紧急警报。美网络安全与基础设施安全局(CISA)于当地时间周五晚间发布警告，其要求所有联邦部门和机构在周一之前立即对任何容易受到Zerologon攻击的Windows服务器进行补丁，称这对政府网络构成了不可接受的风险。

Microsoft Threat Protection (MTP)是一个在Microsoft 365环境中为组织提供跨域威胁检测和响应机制的平台。它从各个域的多个端点收集原始数据，并对其进行分析，以提供一个完整的攻击面视图，从而可以高效地检测、调查、预防和响应这些数据。微软今日公布了MTP的新API，表示该平台现在已经 "集成就绪"。

作为8月11日补丁周二的一部分，一个0day级别的漏洞被修复，它影响到Windows 7、Windows 8.1、Windows 10和几个Windows Server版本，微软还承认已经留意到利用此漏洞发生的攻击已经出现。这是操作系统中的一个欺骗漏洞，详情记录在CVE-2020-1464中，后果是黑客最终可以通过成功利用它来加载不当签名的文件。

据外媒报道，微软今日开始推出August 2020 Patch Tuesday（2020年8月周二）安全更新补丁。从Edge到Windows再到SQL Server、.NET Framework，这家公司为13款产品修复了120个漏洞。在本月修复的120个漏洞中，有17个漏洞被评为“严重”级别，还有两个零日漏洞--不过在微软提供今日补丁之前，黑客就已经利用了这些漏洞。

鉴于 SHA-1 哈密加密算法已经不再安全，微软也于昨日发出了公告 —— 2020 年 8 月 3 日起，微软下载中心将撤下基于 SHA-1 签名的内容。据悉，如果使用基于 SHA-1 哈希算法签名的数字证书，则 Windows 用户很可能成为网络钓鱼或中间人攻击的受害者。为确保安全，还请及时迁移至基于 SHA-2 哈希算法的安全连接。

近日，有研究人员展示了一种被称作“Thunderspy”的硬件攻击，其危险之处在于速度极快、且无法被常规安全措施给检测到。据悉，该攻击可轻松绕过英特尔的雷电（Thunderbolt）安全防护特性，允许攻击者从锁定并加密的 PC 上复制内存信息。好消息是，微软今日解释称，安全核心（Secured-core）可保护 Windows PC 不受 Thunderspy 等攻击的影响。

微软为何不使用Thunderbolt 3端口呢？这是因为他们认为Thunderbolt端口提供了直接访问PC内存的不安全访问，可能会导致各种漏洞和安全威胁。果不其然，近日安全研究人员Björn Ruytenberg演示了一种能够轻松绕过英特尔Thunderbolt安全功能，允许黑客从锁定和加密的PC中复制内存或者轻松绕过锁屏的破解方式。

如果黑客能够破解微软定制的Linux操作系统，微软将向黑客提供最高10万美元的奖励。这家软件巨头去年为其Azure Sphere操作系统构建了一个紧凑的定制版Linux，该操作系统旨在物联网（IoT）平台专用芯片上运行。该操作系统专门为该平台打造，基本服务和应用在沙盒中隔离运行，以确保安全。

谷歌的安全团队近日发现存在于Windows 10 May 2019（Version 1903）功能更新中的某个BUG，能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂，主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。

微软今天承认已经有黑客利用尚未公开的漏洞对所有尚处于支持状态的Windows设备发起了网络攻击，而且目前还没有针对该漏洞的安全补丁。在本周一发布的公告中，微软承认该漏洞属于“严重”（critical）级别，存在于Windows处理和渲染字体中。

在本月的补丁星期二活动日上，微软对所有受支持的Windows 10系统发布了累积更新，并对Edge、Internet Explorer和其他组件进行了安全改进。在活动日期间，网络上意外曝光了存在于SMBv3协议中全新蠕虫漏洞，为此今天微软发布了紧急更新对其进行了修复。

安全公司Sophos警告说，新的勒索软件攻击使用了易受攻击的技嘉驱动程序，试图闯入Windows系统，然后禁用正在运行的安全软件。该攻击基于2018年在技嘉驱动程序中发现的安全漏洞，该安全漏洞在CVE-2018-19320中有详细说明。

在1月14日的补丁星期二活动中，微软修复了存在于所有受支持Windows系统的严重高危安全漏洞。此漏洞由美国国家安全局（NSA）发现并披露给了Microsoft ， 漏洞编号为CVE-2020-0601。

Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击，该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件，并包含一个Monero挖矿软件，它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。

援引外媒KrebsonSecurity报道，在2020年1月的补丁星期二活动中，微软可能已准备好修复存在于Windows系统中的严重加密漏洞，而该漏洞能够让恶意程序伪装成为受信任的组件欺骗用户进行安装感染。而重点是，今天正式停止支持的Windows 7系统可能不会修复该漏洞。

微软和谷歌都已经在昨天发布软件更新用于修复部分安全漏洞，这其中就包括某个在野外已遭到利用的零日漏洞。这些零日漏洞由卡巴斯基发现但是高级黑客团体早已利用，黑客借助这些漏洞可以直接在计算机上安装间谍软件。而经过溯源后卡巴斯基指出无法将攻击者归于任何特定攻击者，但攻击者使用的部分代码与拉撒路集团有相似性。

网络安全公司OPSWAT进行的一项新研究表明，如今，赛门铁克公司，ESET和迈克菲开发的防病毒产品已成为大多数Windows用户的首选。OPSWAT数据显示，赛门铁克以13.56%的市场份额位居Windows反恶意软件市场之首，其中Symantec Endpoint Protection份额占10.75%。

自从幽灵、熔断漏洞大规模暴发，Intel在安全防护方面的步伐大大加快，除了产品更新换代，针对已有产品也不断推出新的微代码，并联合主板厂商、微软集成到BIOS、系统补丁里，产品涵盖也能追溯到十年前的早期酷睿。

微软发现全球数千台Windows电脑感染了一种新的恶意软件，该恶意软件下载并安装了node.js框架的副本，以将受感染的系统转换为代理，执行点击欺诈。该恶意软件被称为Nodersok或者Divergent，最初是在今年夏季发现的，通过恶意广告在用户电脑上强行下载HTA文件进行传播。

在2019年8月的补丁星期二活动日中，面向Windows 10发布累积更新的同时微软还修复了存在于Remote Desktop Services组件中的两个漏洞，微软认为这些漏洞是“wormable”。和两年前的WannaCry攻击类似，无需用户进行任何输入的情况下在网络的电脑之间传播恶意软件，因此这些补丁是非常重要的。

微软一直吹嘘自家 Azure 云基础设施的安全性，但近期的一份报告称，它还是很容易受到网络攻击。Check Point Research 指出，其在常用协议中发现了大约 12 个漏洞，导致数以百万计的微软云用户暴露在潜在的网络攻击之下。在本周早些时候举办的黑帽安全会议上，该公司指出远程桌面协议（RDP）漏洞或被别有用心的攻击者利用。

微软安全检测与响应团队（DART）的使命，旨在保护该公司的客户免受网络安全问题的影响，同时尽快修复可能出现的安全问题。今年 5 月，DART 团队发布了针对远程执行代码漏洞 —— CVE-2019-0708（又称 BlueKeep 远程桌面服务漏洞）的安全补丁。其严重性在于无需用户的交互，即有可能被攻击者所利用。

外媒报道称，微软悄然发布了一个提升 Windows 用户安全的补丁，修复了自 2012 年以来生产的英特尔 CPU 漏洞（涉及 Ivy Bridge 之前的芯片）。据悉，SWAPGS 漏洞有些类似于臭名昭著的幽灵（Spectre）和熔毁（Meltdown）芯片缺陷，由安全公司 Bitdefender 在一年前发现。在 BlackHat 安全会议上，其终于宣布已被修补。

安全研究员 Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员，负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞，目前，微软仍处于修复过程中。Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题，“微软承诺在 90 天内修复它，结果没有”。于是在第 91 天，Ormandy 选择了公开这个漏洞。

过去几个月，微软一直深受“沙箱逃逸”（SandboxEscaper）零日漏洞的困扰。因为黑客那边不按常理出牌，不仅没有给出 90 天的预备披露时间，还接二连三地抛出了针对 Windows 操作系统的特权提升漏洞。万幸的是，尽管准备工作有点仓促，该公司还是设法修复了已流出概念验证代码的五个漏洞中的四个，且目前尚无被人在野外利用的报道。

近日，外媒报道了微软 NTLM 协议中存在的新漏洞，或导致在任何 Windows 计算机上执行远程代码、或对任何支持 Windows 集成身份验证（WIA）的 Web 服务器（如 Exchange 和 ADFS）进行身份验证。具体说来是，Perrmpt 研究小组发现了由三个逻辑缺陷组成的两个严重漏洞，且所有 Windows 版本都易受到攻击影响。更糟糕的是，新漏洞可绕过微软此前已部署的缓解措施。

微软(Microsoft)发布警告称，针对欧洲地区的垃圾邮件活动正在利用一个漏洞执行攻击，只要打开附件文件就可能感染用户。微软称，这是一场针对欧洲地区的主动电子邮件恶意软件运动，散布了带有CVE-2017-11882漏洞的RTF文件，该漏洞允许攻击者自动运行恶意代码而不需要用户交互。

安全研究人员称，Windows 1903 更新中存在的网络身份验证（NLA）bug，可被攻击者利用来控制远程会话。据悉，NLA 旨在防止攻击者远程登录到用户的 Windows PC 。它会要求登录者提供必要的详情，以便进行身份验证。原本攻击者不应该知晓这些细节，除非你与外界进行了分享。

据外媒报道，如果你是一名在几周前发现Bluekeep漏洞后还没有更新系统的Windows用户，那么美国国安局(NSA)的警告或许会改变你这个想法。据了解，Bluekeep的漏洞堪比2007年的恶意软件WannaCry，后者给全球计算机系统造成了毁灭性的破坏并带来了数百万美元的损失。

近日有报道称，仍有百万台暴露于公网上的 PC 容易受到 BlueKeep 漏洞的威胁。这个存在于 Windows XP / 7 和 Server 2003 / 2008 等操作系统之中的远程桌面协议（RDP）漏洞，已经引发了许多人的关切。微软安全响应中心的事件响应主管 Simon Pope 呼吁，他们确信会有利用该漏洞的攻击事件发生，呼吁 IT 管理员立即采修复行动。

AV-TESTS安全专家最近进行了一系列杀毒测试，帮助用户选择Windows10设备上性能最佳的杀毒软件。其中BitDefender、F-Secure、Kaspersky Lab、McAfee和Symantec五种不同的安全产品在测试中获得18分满分，在保护、性能和可用性的三项测试中，每项都获得6分满分。

援引外媒SecurityWeek报道，将近100万台设备存在BlueKeep高危漏洞安全隐患，而且已经有黑客开始扫描寻找潜在的攻击目标。该漏洞编号为CVE-2019-0708，存在于Windows远程桌面服务（RDS）中，在本月的补丁星期二活动日中已经得到修复。

两天前名为SandboxEscaper的安全研究人员发布了一些针对Windows 10系统的零日漏洞，并承诺后续会公开更多Windows 10零日漏洞。昨天这名安全研究人员兑现承诺，又发布了四个零日漏洞，所幸的是其中的一个漏洞已经在本月的补丁星期二活动日中进行了修复。

如果你依然在使用联网的Windows XP或者Windows Server 2003系统，同时也包括Windows 7、Windows Server 2008以及2008 R2系统，那么应该立即安装微软刚刚推出的紧急修复补丁。为了修复不亚于Wannacry的RDP服务漏洞，微软于今天面向包括XP在内的上述系统发布了紧急修复补丁，要求用户尽快完成安装。

在4月9日发布的补丁星期二活动日中，微软修复了卡巴斯基发现的一个零日漏洞，如果被黑客控制可以获得控制系统的完整权限。该漏洞编号为CVE-2019-0859，是已经被黑客利用的Win32k提权漏洞，微软已经确认新旧Windows系统均受到影响。Windows 10十月更新（Version 1809）同样受到影响。

为了在不同环境中增强Windows 10系统的安全配置，微软近日在DEFCON评级的基础上推出了SECCON框架。从级别1的“管理员工作站”到级别5的“企业级安全”，整个框架的目的是为了简化和标准化安全性。虽然它并非一个通用的安全解决方案，但公司表示通过离散的规范性Windows 10安全配置来满足当代企业中的大多数常见设备使用情境。

如果您目前正在运行Windows 10并且对只有Windows Defender保护您的设备时感到不安全，那么您一定要查看专家在AV-TEST上进行的最新一轮防病毒测试。这项新研究最令人惊讶的地方在于，像BitDefender和Kaspersky这样知名安全供应商的解决方案没有获得最高分。

微软公司正在实施一系列改革，进一步完善与全球安全研究人员的合作。作为该公司漏洞奖励计划的一部分，微软今天宣布，它去年为安全漏洞支付了200万美元。微软表示，现在付款将由HackerOne处理，支付选项不仅包括PayPal，并提供其他选项，其中包括以加密货币方式支付。

为了控制伊朗黑客组织使用的域名，微软向美国法院申诉并赢得了限制令，以控制黑客组织（被称为Phosphorus或APT 35）使用的99个网站，这些网站据信被用于各种黑客攻击。微软消费者安全主管Tom Burt在一篇博客文章中表示，法院本月早些时候批准了这项提议。

博鳌亚洲论坛2019年年会今日于海南博鳌举办，会议期间，微软全球资深副总裁兼微软亚洲研究院院长洪小文接受采访时谈及5G带来的新趋势，他表示，“5G让带宽变得很宽，所以我觉得跟视频、媒体有关的更多可以进行实时、高清的传输，速度变得很快以后，能够做更多实时的东西，可能往这个方向想大概都可以做。”

2018年十大受攻击最严重的漏洞名单显示，微软的 Office 是网络犯罪分子的 “最爱” 之选。十大漏洞的名单，微软应用的漏洞就出现了8次。其中，Office 漏洞有5个，IE 漏洞占到了3个。另外两个漏洞分别是 Flash Player 漏洞及安卓漏洞，后者同时也是唯一一个上榜的移动端漏洞。

微软发布了一份新的安全报告，显示了去年网络钓鱼攻击数量增加。该报告着重于2018年1月至12月发生的攻击。报告还显示，同一时期发生与恶意软件相关的攻击有所减少。根据报告显示，2018年网络钓鱼攻击增加了250%，而恶意软件攻击减少了34%。

昨天Matt Miller在Blue Hat的演讲中披露了一些惊人的统计数据。根据微软安全响应中心收集的数据，这些数字清楚地证实了我们多年来一直在说的话：与在现实中遭遇破坏的方式相比，将Windows和Office补丁推迟长达30天而受到恶意软件攻击的可能性微乎其微。

去年 6 月，有安全研究人员指出，只需 100 美元的工具、并重新刷写固件，即可轻松绕过固态硬盘驱动器（SSD）的硬件加密。显然，这对用户的数据安全造成了极大的隐患。需要指出的是，该问题仅影响基于硬件的加密方式，而不影响基于软件的加密措施。在启用硬件加密的时候，Bitlocker“特别容易受到攻击”，因其依赖于 SSD 自身的加解密功能。

10月9日，微软发布了2018年10月份的月度例行安全公告，并且发布了安全更新部署修复了多款产品的多项安全漏洞。在Windows 10的安全更新部署的修复中，重点提及了CVE-2018-8453 Win32k提权漏洞，今年8月份最初由卡巴斯基实验室观测到活动，并发现被APT组织FruityArmor用于攻击活动中的漏洞。

Google Project Zero 安全团队9月20日公开披露了一个影响 Microsoft Jet 数据库引擎的远程执行代码漏洞。该漏洞被认为会影响所有支持的 Windows 版本（包括服务器版本），且截至本文发布时，尚未完成修补。Google 团队表示他们已遵循其披露流程，Microsoft 已经超过了 120 天的漏洞披露限制日期。

自 Windows 10 推出以来，微软打补丁的速度一直没能令人满意。万幸的是，还有许多热心的第三方愿意替软件巨头兜着。刚刚曝光的“计划任务”（Task Scheduler）零日漏洞，结果也是如此。在事情矛头后的 24 小时内，0patch 就抢先推出了修补方案。早前，网友 @SandboxExplorer 在 Twitter 上晒出了他的祖新发现。

在安全软件公司ESET的帮助下，微软近期宣布修复了Windows 7系统中存在的漏洞。鉴于漏洞发现后的快速响应，微软表示没有证据表明有黑客利用该漏洞发起攻击。Windows Defender ATP Research的Matt Oh表示同ESET和Adobe安全研究专家一起修复了PDF文件中两个零日漏洞。

近日，火绒安全团队截获新蠕虫病毒“SyncMiner” ，该病毒在政府、企业、学校、医院等单位的局域网中具有很强的传播能力。该病毒通过网络驱动器和共享资源目录（共享文件夹）迅速传播，入侵电脑后，会利用被感染电脑挖取“门罗币”，造成CPU占用率高达100%，并且该病毒还会通过远程服务器下载其他病毒模块，不排除盗号木马、勒索病毒等。

近期，Telspace Systems公司的安全研究专家Dmitri Kaslov在Windows操作系统的JScript组件中发现了一个严重的安全漏洞，而这个漏洞将允许攻击者在目标主机上执行恶意代码。在今年的一月份，Kaslov通过趋势科技Zero-Day Initiative（ZDI）服务发现了这个0 day漏洞，并通过ZDI的安全专家将漏洞信息上报给了微软团队。

AV-TEST发布了2018年4月份的杀软测试报告，平台是Windows 10个人用户。本次的成绩略有些变化，此前一直稳居第一的卡巴斯基没有拿下三个6分总计18分的满分，让位给了AhnLab V3（安博士）和Avira Antivirus Pro 15.0（小红伞）。 卡巴此次失分在性能上，防护力和易用性仍是无可挑剔的。同样总分17.5的还有McAfee、TrendMicro。 参测的18款杀软中，垫底的是PC Pitstop，倒数第二是F-Secure。

近日，火绒安全团队截获病毒“Socelars”，正通过KMSpico、Adobe Photoshop 等四十余款软件破解工具进行传播。该病毒会利用被感染用户的facebook临时登录凭证，专门窃取用户当前绑定的信用卡账户信息。

在本月的补丁星期二活动上线的累积更新，微软推送安全补丁修复一项利用微软RDP远程桌面协议的严重漏洞CVE-2018-0886，影响所有Windows Vista以后的PC系统。如果攻击者利用RDP协议的远程代码执行漏洞，将通过远程桌面控制端向远程桌面端发起中间人攻击注入可执行恶意密码，这一漏洞率先由信息安全公司Preempt发现并向微软报告，微软成功在公布期内修复了此漏洞，目前尚未被黑客利用，但公司敦促各组织企业的IT管理员尽快安装最新累计更新。

上个月的时候，谷歌 Project Zero 团队曝光了与微软 Edge 浏览器和 Windows 10 操作系统相关的最新漏洞，引发了业内许多安全研究人员的注意。祸不单行的是，意大利帕多瓦大学的研究人员们，刚又曝光了严重影响 Windows 8.1 和 Windows 10 安全的“控制流防护”（CFG）设计漏洞。据悉，微软在 Windows 8.1 Update 3 中率先引入了内核级的 CFG 功能，并且一路延续至 Windows 10 操作系统。