cnBeta.COM_中文业界资讯站

在本月的补丁星期二活动日中，微软面向尚处于支持状态的 Windows 系统发布了累积更新。安全方面，累积更新 KB5012170 增强了 Secure Boot DBX 的防护能力。Secure Boot DBX 基本上就是目前发现可破坏设备的 UEFI 可执行文件黑名单。

网络安全公司 SentinelOne 今天发布新闻稿，表示微软内置的反恶意软件解决方案已经被滥用，在受害者设备上加载 Cobalt Strike 信标。LockBit Ransomware as a Service (RaaS) 运营商及其附属公司在 Microsoft Defender 中使用专门的命令行工具“mpcmdrun.exe”，实现感染受害者个人电脑。

曾被称作企业数据保护（EDP）的 Windows Information Protection 产品（简称 WIP），已被微软宣告终止支持。作为一款旨在防止企业信息意外泄露的解决方案，此前微软一再强调不该将 WIP 用于抵御恶意内部人员的防线。

在网络安全领域，善与恶之间的斗争是一场持久战。我们经常听到恶意行为者利用新的漏洞，以及在被动和主动的基础上对它们建立的防御措施。现在，微软已经发布了关于一种高风险蠕虫的私人建议，这种蠕虫正在感染数百个Windows企业网络。

在英特尔和微软今天发布的公告中，表示多款英特尔酷睿处理器存在一系列 CPU 漏洞。这些安全漏洞与 CPU 的内存映射 I/O（MMIO）有关，因此被统称为“MMIO陈旧数据漏洞”（MMIO Stale Data Vulnerabilities）。威胁者在成功利用一个有漏洞的系统后，可以读取被攻击系统上的特权信息。

最近，一个被称为"Follina"的微软支持诊断工具（MSDT）零日漏洞浮出水面，当时安全研究人员发现了这个漏洞，而且由于媒体的报道，这个消息已经传开。微软最初显然忽视了这个漏洞，认为它是一个非安全问题（，不过后来，该公司承认这是一个远程代码执行（RCE）漏洞，并为其分配了跟踪ID CVE-2022-30190。

本周曝光的 Follina 零日漏洞，一旦设备感染之后就可以在受害者计算机上远程执行代码。虽然微软在数周前已承认存在该漏洞，但是微软至今尚未发布有效的漏洞修复补丁，只是提供了比较详细的解决方案。所幸的是，第三方公司提供了相关的补丁。

安全专家近日发现了高危的代码执行零日漏洞，目前所有支持的 Windows 系统均受影响。已经有相关证据表明至少在 7 周前就有黑客利用该漏洞，在不触发 Windows Defender 以及其他终端保护产品的情况下，在受害者设备上安装恶意程序。

安全研究人员近期注意到一个利用 Windows 事件日志来存储恶意软件的活动，这项技术此前并没有被记录用于黑客攻击。这种方法使攻击者能够在文件系统中植入无文件的恶意软件，这种攻击充满了技术和模块，旨在尽可能保持活动的隐蔽性。

如果评选Windows 11中最具创新也是最吸引人的功能，能用AndroidAPK肯定会入选，微软引入了WSAAndroid子系统，可以原生运行Android应用。不过微软在Android应用上的合作伙伴是亚马逊，所以集成的应用商店也是亚马逊的，这点上显然不如GooglePlay商店吸引人，因此网上有很多人都在寻求一键安装Play商店的软件，没成想惹来木马了。

对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次，微软清楚地知道这个国家支持的威胁行为者团体的活动意图，该组织正在利用"Tarrask"恶意软件来瞄准并不断削弱Windows操作系统的防御能力。

Windows PrintNightmare 是影响打印服务的漏洞，微软花费了数月的时间经历了多次修复才算完全修复。而现在又一个这样的“牛皮癣”漏洞出现了，该漏洞存在于 Windows User Profile 服务中，是一个本地提权漏洞（LPE）。它被列为 CVE-2021-34484 追踪，在 CVSS v3 风险值评估中为评为 7.8 分。

自 Windows 11 于去年 6 月首次公布以来，就出现了非常多的欺诈活动，目的让用户下载虚假的恶意 Windows 11 安装程序。虽然这种欺诈曾消停过一段时间，但是现在它又重新出现，而且杀伤力进一步升级。

微软今天正式宣布，它已经禁用了MSIX应用安装程序协议以防止恶意攻击。该协议允许用户直接从网络服务器上安装各种应用程序，而不需要先将其下载到本地存储。当时的想法是，这种方法将为用户节省空间，因为不需要下载整个MSIX包。

针对近期曝光的 Windows 桌面和服务器高危漏洞，微软在本月的补丁星期二活动日中发布了一个补丁。该漏洞存在于 HTTP 协议栈（HTTP.sys）中，只需向利用 HTTP 协议栈（http.sys）处理数据包的目标服务器发送一个特制的数据包就可以被利用。攻击者甚至不需要经过认证。

计算机安全组织 Cisco Talos 发现了一个新的漏洞，包括 Windows 11 和 Windows Server 2022 在内的所有 Windows 版本均受影响。该漏洞存在于 Windows 安装程序中，允许攻击者提升自己的权限成为管理员。

Bitdefender 的网络安全专家近日发现了一款名为“FiveSys”的新恶意程序，它是一个 rootkit，实际上是由微软自己进行数字签名的。FiveSys 恶意驱动程序带有 Windows 硬件质量实验室（WHQL）认证，该认证由微软通过 Windows 硬件兼容计划（WHCP）对其各合作厂商送来的驱动程序包进行仔细核查后提供。

近日，安全专家发现微软 Exchange 电子邮件服务器中的某项功能存在设计缺陷，能被滥用于获取世界各地用户的 Windows 域和应用程序凭证。该漏洞由安全公司 Guardicore 的安全研究副总裁 Amit Serper 发现，它存在于 Microsoft Autodiscover 协议中。

近日，安全专家发现了针对 Windows Subsystem for Linux（WSL）创建的恶意 Linux 安装文件，表明黑客正在尝试用新的方法来破坏 Windows 设备。这一发现强调了威胁者正在探索新的攻击方法，并将注意力集中在 WSL 上以逃避检测。

在 9 月的补丁星期二活动日中，微软共计修复了 66 处系统漏洞和 20 处 Microsoft Edge 中的 Chromium 安全漏洞。受影响的产品包括。Azure、Edge（Android、Chromium 和 iOS）、Office、SharePoint Server、Windows、Windows DNS 和 Windows Subsystem for Linux。

网络安全是很多组织的一个主要头痛问题，特别是在网络武器被私人公司出售的情况下。就在最近，我们了解到eCh0raix勒索软件正在威胁NAS设备，而PrintNightmare继续成为微软的噩梦，尽管该公司几天前刚刚发布了一个补丁，本应关闭这个漏洞。现在，在一篇详细的博客文章中，微软已经概述了企业需要采取的步骤，以加强他们对网络攻击的防御。这些方法中的大多数可以由全球任何规模的组织实施。

影响广泛的微软Windows的PrintNightmare漏洞事件拒绝结束，另一个版本的黑客攻击手法意味着任何用户都可以在他们的PC上绕过验证措施直接获得管理权限，甚至从一个级别很低的账户中也是如此。这一入侵方法是由Benjamin Delpy开发的。

几天前，法国安全研究人员 Gilles Lionel 披露了一种新式 NTLM 中继攻击。若得逞，黑客将接管域控制器或其它 Windows 服务器。随着 PetitPotam 概念验证代码的披露，这也成为了困扰企业网络管理员的一个新安全问题。

Windows 10 系统中被爆出存在本地提权漏洞 HiveNightmare，可访问注册表中不被允许访问的区域。黑客在获得访问权限之后可用于寻找登陆凭证、获得 DPAPI 解密密钥等等。这个漏洞同样存在于 Windows 11 系统中。

当微软认为他们的PrintNightmare漏洞事件影响已经结束时，另一攻击套路随之出现。MSRC刚刚发布了一个公告（CVE-2021-34481）通知系统管理员，尽管最近已经为他们的电脑打了针对PrintNightmare的补丁，但已经在外部发现了新的攻击方式，使他们的电脑再次暴露在容易受到攻击的情形下。

微软周四表示，一个以色列组织出售可以黑入Windows的工具。该组织名叫Candiru，它开发并销售软件，软件利用漏洞渗透到Windows平台。黑客工具向全球扩散，提供给大量不知名客户，他们利用软件瞄准各种公民社会组织，比如沙特异见团体、左倾印尼新闻媒体等。

几天前，我们了解到一个名为 "PrintNightmare"的新漏洞几乎影响到所有的Windows设备。它利用Windows Print Spooler服务的未受保护的功能来触发远程代码执行（RCE）。美国网络安全和基础设施安全局（CISA）强调它是一个关键漏洞，微软正在积极调查修复。现在，微软公司就此事提供了更多信息。

微软已就 Windows PrintNightmare 漏洞发出紧急警告，因其允许黑客在受害者 PC 上远程执行代码。由 CVE-2021-34527 安全公告可知，该漏洞利用了打印所需的 Windows Print Spooler 服务中的一个缺陷。目前微软正在对“不断发展的状况”进行评估，且 Sangfor 安全研究人员已经发布了概念利用证明。

第三方补丁开发商0patch已经介入帮助修复最近被安全研究人员意外泄露的PrintNightmare漏洞。虽然微软已经承认Windows Print Spooler存在安全漏洞，可能导致系统被远程入侵，但该公司只提供了解决方法，而没有提供补丁。因此，0patch--对在这种情况下提供帮助并不陌生--已经站出来，发布了自己的免费微补丁。

中国安全公司深信服（Sangfor）近日发现了名为 PrintNightmare 的零日漏洞，允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力，该公司还发布了概念证明代码。

微软目前正在强迫所有Windows 11用户转向支持TPM 2.0的电脑，希望这提供的加密安全将使恶意软件成为过去。然而，如果微软自己正式签署了恶意软件，从而让他们自由支配其操作系统，那么这一切都是徒劳的。微软已经承认签署了一个名叫Netfilter rootkit的恶意的内核驱动程序，它与一种游戏一起分发，可以与其来源的控制服务器进行通信。

微软为Windows 10发布了一个新的服务栈更新。KB5001205更新适用于1909版本及以上的操作系统，它解决了安全启动（Secure Boot）功能中的一个问题。除此之外，该更新修复了一个阻止另一个更新安装的问题，它还包括对服务堆栈的质量改进，以帮助Windows 10的整体更新体验。

微软已经修补了一个关键的零日漏洞，朝鲜黑客正利用这个漏洞以恶意软件为目标对安全研究人员进行攻击。

谷歌 "零号项目 "专门用来发现该公司自己软件以及其他公司软件中的漏洞，并私下向供应商报告，在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度，它有时还会以宽限期的形式提供额外的天数。在过去几年中，在厂商无法及时修补后，谷歌 "零号项目 "安全团队已经披露了多个安全漏洞。

如果你发现自己的浏览器在浏览页面经常出现一些“异常”的广告，那么就要注意可能是电脑无意中下载了恶意软件。微软今天警告称，一种新的恶意软件会感染用户的设备，然后修改浏览器及其设置，目的是偷偷的在搜索结果页面中插入广告。

上个月，谷歌Project Zero的安全研究人员公布了Windows中一个正在被积极利用的零日漏洞的细节。黑客利用Windows内核加密驱动安全漏洞（CVE-2020-117087）在Windows 7、8、10以及Windows Server 2008和更高版本中获得高权限。作为昨晚发布的 "补丁星期二"的一部分，微软目前已经发布了该漏洞的修复程序。

谷歌的 Project Zero 团队近日披露了存在于 Windows 系统中的零日漏洞，会影响从 Windows 7 至 Windows 10 Version 1903 系统版本。在博文中，谷歌表示已经有证据表明有攻击者利用该漏洞发起了攻击，可提升权限以执行远程代码。

安全研究人员本周五发布警告称，2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用，从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”，能让攻击者访问活动目录，以管理员身份创建、删除和管理网络账号。

在Windows Setup中存在一个安全漏洞，即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。

微软周一表示，伊朗国家支持的黑客目前正在现实世界的黑客活动中利用Zerologon漏洞。成功的攻击将使黑客能够接管被称为域控制器(DC)的服务器，这些服务器是大多数企业网络的核心，并使入侵者能够完全控制其目标。

美国每年10月都会举办 "国家网络安全意识月"活动。该活动最早是由国土安全部和国家网络安全联盟在2004年发起的，目的是围绕网络安全和保障建立更多的意识。随着2020年10月的到来，微软也宣布了自己的计划，以促进网络安全的重要性。

据外媒报道，在最近披露微软Windows服务器版本存在“严重”安全漏洞后，美国土安全部网络安全顾问组罕见地向政府部门发布了紧急警报。美网络安全与基础设施安全局(CISA)于当地时间周五晚间发布警告，其要求所有联邦部门和机构在周一之前立即对任何容易受到Zerologon攻击的Windows服务器进行补丁，称这对政府网络构成了不可接受的风险。

Microsoft Threat Protection (MTP)是一个在Microsoft 365环境中为组织提供跨域威胁检测和响应机制的平台。它从各个域的多个端点收集原始数据，并对其进行分析，以提供一个完整的攻击面视图，从而可以高效地检测、调查、预防和响应这些数据。微软今日公布了MTP的新API，表示该平台现在已经 "集成就绪"。

作为8月11日补丁周二的一部分，一个0day级别的漏洞被修复，它影响到Windows 7、Windows 8.1、Windows 10和几个Windows Server版本，微软还承认已经留意到利用此漏洞发生的攻击已经出现。这是操作系统中的一个欺骗漏洞，详情记录在CVE-2020-1464中，后果是黑客最终可以通过成功利用它来加载不当签名的文件。

据外媒报道，微软今日开始推出August 2020 Patch Tuesday（2020年8月周二）安全更新补丁。从Edge到Windows再到SQL Server、.NET Framework，这家公司为13款产品修复了120个漏洞。在本月修复的120个漏洞中，有17个漏洞被评为“严重”级别，还有两个零日漏洞--不过在微软提供今日补丁之前，黑客就已经利用了这些漏洞。

鉴于 SHA-1 哈密加密算法已经不再安全，微软也于昨日发出了公告 —— 2020 年 8 月 3 日起，微软下载中心将撤下基于 SHA-1 签名的内容。据悉，如果使用基于 SHA-1 哈希算法签名的数字证书，则 Windows 用户很可能成为网络钓鱼或中间人攻击的受害者。为确保安全，还请及时迁移至基于 SHA-2 哈希算法的安全连接。

近日，有研究人员展示了一种被称作“Thunderspy”的硬件攻击，其危险之处在于速度极快、且无法被常规安全措施给检测到。据悉，该攻击可轻松绕过英特尔的雷电（Thunderbolt）安全防护特性，允许攻击者从锁定并加密的 PC 上复制内存信息。好消息是，微软今日解释称，安全核心（Secured-core）可保护 Windows PC 不受 Thunderspy 等攻击的影响。

微软为何不使用Thunderbolt 3端口呢？这是因为他们认为Thunderbolt端口提供了直接访问PC内存的不安全访问，可能会导致各种漏洞和安全威胁。果不其然，近日安全研究人员Björn Ruytenberg演示了一种能够轻松绕过英特尔Thunderbolt安全功能，允许黑客从锁定和加密的PC中复制内存或者轻松绕过锁屏的破解方式。

如果黑客能够破解微软定制的Linux操作系统，微软将向黑客提供最高10万美元的奖励。这家软件巨头去年为其Azure Sphere操作系统构建了一个紧凑的定制版Linux，该操作系统旨在物联网（IoT）平台专用芯片上运行。该操作系统专门为该平台打造，基本服务和应用在沙盒中隔离运行，以确保安全。

谷歌的安全团队近日发现存在于Windows 10 May 2019（Version 1903）功能更新中的某个BUG，能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂，主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。

微软今天承认已经有黑客利用尚未公开的漏洞对所有尚处于支持状态的Windows设备发起了网络攻击，而且目前还没有针对该漏洞的安全补丁。在本周一发布的公告中，微软承认该漏洞属于“严重”（critical）级别，存在于Windows处理和渲染字体中。

在本月的补丁星期二活动日上，微软对所有受支持的Windows 10系统发布了累积更新，并对Edge、Internet Explorer和其他组件进行了安全改进。在活动日期间，网络上意外曝光了存在于SMBv3协议中全新蠕虫漏洞，为此今天微软发布了紧急更新对其进行了修复。

安全公司Sophos警告说，新的勒索软件攻击使用了易受攻击的技嘉驱动程序，试图闯入Windows系统，然后禁用正在运行的安全软件。该攻击基于2018年在技嘉驱动程序中发现的安全漏洞，该安全漏洞在CVE-2018-19320中有详细说明。

在1月14日的补丁星期二活动中，微软修复了存在于所有受支持Windows系统的严重高危安全漏洞。此漏洞由美国国家安全局（NSA）发现并披露给了Microsoft ， 漏洞编号为CVE-2020-0601。

Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击，该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件，并包含一个Monero挖矿软件，它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。

援引外媒KrebsonSecurity报道，在2020年1月的补丁星期二活动中，微软可能已准备好修复存在于Windows系统中的严重加密漏洞，而该漏洞能够让恶意程序伪装成为受信任的组件欺骗用户进行安装感染。而重点是，今天正式停止支持的Windows 7系统可能不会修复该漏洞。

微软和谷歌都已经在昨天发布软件更新用于修复部分安全漏洞，这其中就包括某个在野外已遭到利用的零日漏洞。这些零日漏洞由卡巴斯基发现但是高级黑客团体早已利用，黑客借助这些漏洞可以直接在计算机上安装间谍软件。而经过溯源后卡巴斯基指出无法将攻击者归于任何特定攻击者，但攻击者使用的部分代码与拉撒路集团有相似性。

网络安全公司OPSWAT进行的一项新研究表明，如今，赛门铁克公司，ESET和迈克菲开发的防病毒产品已成为大多数Windows用户的首选。OPSWAT数据显示，赛门铁克以13.56%的市场份额位居Windows反恶意软件市场之首，其中Symantec Endpoint Protection份额占10.75%。

自从幽灵、熔断漏洞大规模暴发，Intel在安全防护方面的步伐大大加快，除了产品更新换代，针对已有产品也不断推出新的微代码，并联合主板厂商、微软集成到BIOS、系统补丁里，产品涵盖也能追溯到十年前的早期酷睿。

微软发现全球数千台Windows电脑感染了一种新的恶意软件，该恶意软件下载并安装了node.js框架的副本，以将受感染的系统转换为代理，执行点击欺诈。该恶意软件被称为Nodersok或者Divergent，最初是在今年夏季发现的，通过恶意广告在用户电脑上强行下载HTA文件进行传播。