记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华因漏洞频发,微软敦促客户保护本地Exchange服务器
据The Hacker News消息,微软正敦促客户更新他们的 Exchange 服务器,并采取措施加强环境,例如启用Windows 扩展保护和配置基于证书的 PowerShell 序列化有效负载签名。微软 Exchange团队表示,未打补丁的本地 Exchange 环境通常会被攻击者盯上,进行包括数据泄露等方面在内的各种恶意攻击,并强调,微软发布的缓解措施只是权宜之计,可能不足以抵御各种攻击,用户必须安装必要的安全更新来保护服务器。近年来, Exchange Server 已被证明是一种十分有利可图的攻击媒介,其中的许多安全漏洞曾被用做零日攻击。
因漏洞频发,微软敦促客户保护本地 Exchange 服务器
据The Hacker News消息,微软正敦促客户更新他们的 Exchange 服务器,并采取措施加强环境,例如启用Windows 扩展保护和配置基于证书的 PowerShell 序列化有效负载签名。
微软 Exchange团队表示,未打补丁的本地 Exchange 环境通常会被攻击者盯上,进行包括数据泄露等方面在内的各种恶意攻击,并强调,微软发布的缓解措施只是权宜之计,可能不足以抵御各种攻击,用户必须安装必要的安全更新来保护服务器。
近年来, Exchange Server 已被证明是一种十分有利可图的攻击媒介,其中的许多安全漏洞曾被用做零日攻击。
亚马逊AWS、微软和 Google 都是FTX的债权人
加密货币交易所 FTX 于2022年11月申请破产,当时报道它拖欠客户逾80 亿美元,但最近的报道称它找回了50 亿美元的资产。FTX 创始人兼 CEO Sam Bankman-Fried 已被捕并引渡到美国受审,被控洗钱等罪名,但他坚称自己是清白的。目前 FTX 的个人债权人的名字没有公开,但企业和机构债券人的名字已经公布,它们大部分是技术服务商,其中包括云服务托管商 AWS,微软和 Google,Google 旗下的数据分析平台 Looker、营销软件 HubSpot、文件共享服务商 Dropbox、微软旗下的代码托管平台 GitHub。此外还有苹果和网络托管公司 GoDaddy。
泄露 3.5 万用户数据后,微软 GitHub 项目打赏功能不再支持 PayPal 付款
微软 GitHub 官方博客近日发表简短声明,宣布从 2023 年 2 月 23 日起,GitHub Sponsors 项目打赏功能将不再支持 PayPal 支付方式。赞助人将无法再通过 PayPal 打赏开发者或组织,GitHub 建议赞助人更新支付方式,使用信用卡或借记卡。GitHub 官方对此没有给出更多解释。此外,使用 PayPal 打赏过开发者的用户将收到提醒邮件。
实战 | 记一次微软的3000美金赏金的反射型XSS漏洞挖掘
#漏洞挖掘 68 个 #赏金猎人 19 个 #XSS 2 个 Microsoft Forms 漏洞:反射式跨站点脚本 (XSS)在这篇文章中,我将讨论 Microsoft Forms 中反射式跨站点脚本 (XSS) 漏洞的详细信息。背景:Microsoft Forms 是一种流行的基于 Web 的工具,用于创建调查、测验和其他表单。它允许用户创建表单和调查,与他人共享,并在集中位置收集响应。但是,我们发现可以将恶意JavaScript代码注入表单中,这些代码可以由毫无戒心的用户执行。我遵循了 MSRC 报告漏洞的准则并提交了我的发现。
微软Azure曝出新漏洞可导致RCE,研究员获3万美元奖励
编译:代码卫士和微软Azure关联的多款服务中存在一个严重的远程代码 (RCE) 漏洞,可被恶意人员用于完全控制目标应用。发现该漏洞的Ermetic 公司的研究员 Liv Matan 在报告中提到,“该漏洞是通过SCM服务Kudu 上的跨站请求伪造 (CSRF) 实现的。通过利用该漏洞,攻击者可将包含 payload的恶意ZIP文件部署到受害者的Azure应用上。”Ermetic公司将该漏洞命名为 “EmojiDeploy”,它还可导致敏感信息被盗并横向移动到其它Azure服务。微软在2022年10月26日收到漏洞报告后已在12月6日将其修复,并颁发3万美元的奖励。
微软Azure服务缺陷可能导致云资源遭到未授权访问
四种不同的Microsoft Azure服务被发现容易受到服务器端请求伪造 (SSRF) 攻击,这些攻击可能被利用来获得对云资源的未授权访问。这些安全问题是Orca在2022年10月8日至2022年12月2日期间在Azure API管理、Azure函数、Azure机器学习和Azure数字孪生中发现的,此后微软已经解决了这些问题。披露报告中提到,发现的Azure SSRF漏洞允许攻击者扫描本地端口,查找新服务、端点和敏感文件——提供有关可能易受攻击的服务器和服务的有价值信息,以利用初始入口和目标敏感信息的位置。
微软再摆乌龙,安全更新导致 Windows 程序快捷方式被删除
如果你本周上班打开电脑发现任务栏和开始菜单中常用的Windows程序快捷方式都不见了,不要惊慌,这只是微软的又一次安全更新导致的“乌龙事件”。
上周五,微软发布了Microsoft Defender签名更新,其中包括对攻击面减少(ASR)规则的更改,该规则在配置管理器中名为“阻止来自Office宏的Win32 API调用”,在Intune中则是“从Office宏代码导入Win32”。
总之,这个新规则能检测并阻止恶意软件使用VBA宏调用Win32 API。
Linux准备禁用微软RNDIS协议驱动
出于安全担忧 Linux 准备禁用微软的 RNDIS 协议驱动。RNDIS 代表 Remote Network Driver Interface Specification,是一个私有协议,主要使用 USB 协议作为其下层传输,向上层提供虚拟的以太网连接。 除了 Windows,RNDIS 在跨平台环境中没有广泛使用,由于安全担忧,Linux 内核正寻求将 RNDIS 内核驱动转移到 BROKEN Kconfig 选项,因此它在未来的内核构建中将被禁用。在被标记为 BROKEN 一段时间之后,驱动将可能从上游源码树中删除。
3秒复制任何人的嗓音,微软音频版DALL·E细思极恐;谷歌Chrome新特性:基于网站启用和禁用扩展程序
3秒复制任何人的嗓音,微软音频版DALL·E细思极恐 只需3秒钟,一个根本没听过你说话的AI,就能完美模仿出你的声音。 例如这是你的一小句聊天语音: 这是AI根据它模仿你说话的音色: 是不是细思极恐? 这是微软最新AI成果——语音合成模型VALL·E,只需3秒语音,就能随意复制任何人的声音。 它脱胎于DALL·E,但专攻音频领域,语音合成效果在网上放出后火了:有网友表示,要是将VALL·E和ChatGPT结合起来,效果简直爆炸:看来与GPT-4在Zoom里聊天的日子不远了。还有网友调侃,(继AI搞定作家、画家之后)下一个就是配音演员了。
出于安全考虑,Linux Kernel 下个开发周期将禁用对微软 RNDIS 协议驱动的支持
IT之家 1 月 16 日消息,Linux Kernel 的下个开发周期里,将会出于安全方面的考量,禁用对微软远程网络驱动程序接口规范(RNDIS)协议驱动程序的支持。IT之家小课堂:远程 NDIS (RNDIS) 无需硬件供应商为附加到 USB 总线的网络设备编写 NDIS 微型端口设备驱动程序。远程 NDIS 通过定义与总线无关的消息集以及此消息集如何通过 USB 总线操作的说明来实现此目的。由于此远程 NDIS 接口是标准化的,因此一组主机驱动程序可以支持附加到 USB 总线的任意数量的网络设备。
【安全更新】微软1月安全更新多个产品高危漏洞通告
通告编号:NS-2023-00012023-01-11TAG:安全更新、Microsoft Exchange Server、Microsoft Office、Windows Kernel漏洞危害:攻击者利用本次安全更新中的漏洞,可造成信息泄露、权限提升、远程代码执行等。
微软发布2023年1月份安全更新,总计修复98个漏洞
本周二,微软发布了一月份例行安全更新,共修复了98个漏洞,其中之一是正被利用的0day。CVE-2023-21674- Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability 是安全公司 Avast 研究人员报告的,是一个沙盒逃逸漏洞,能导致提权。成功利用该漏洞的攻击者能获得系统级权限,暂时不清楚攻击者如何利用该漏洞。98个漏洞中有39个属于提权漏洞,33个远程代码执行漏洞,10个信息泄露和10个拒绝服务漏洞。
微软一月安全更新修复了一个正被利用的 0day
微软本周二释出了一月份例行安全更新,共修复了 98 个漏洞,其中之一是正被利用的 0day。CVE-2023-21674- Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability 是安全公司 Avast 研究人员报告的,是一个沙盒逃逸漏洞,能导致提权。成功利用该漏洞的攻击者能获得系统级权限,暂时不清楚攻击者如何利用该漏洞。98 个漏洞中有 39 个属于提权漏洞,33 个远程代码执行漏洞,10 个信息泄露和 10 个拒绝服务漏洞。
关键漏洞目录增加微软0 Day漏洞
2023年1月10日美国网络安全与基础设施安全局(CISA)Known Exploited Vulnerabilities catalog增加两个漏洞,漏洞总数增加到870。摄星科技“关键漏洞目录”同步更新。01Exchange Server特权提升漏洞(OWASSRF)已被添加到CISA KEV、关键漏洞目录。已监测到Play等组织利用此漏洞部署勒索软件。
微软 Surface Pro 8 获得 2023 年 1 月固件更新:提升安全性、优化性能
IT之家 1 月 11 日消息,微软将于明年终止对 Surface Pro 8 的支持,但在此之前该机型将会继续接收来自微软的固件更新。微软近日向 Surface Pro 8 推送了 2023 年 1 月的固件更新,主要提升安全性和优化性能。本次固件更细不包含任何新功能 / 新特性。另外IT之家提醒 Surface Pro 8 用户,在升级固件之前需要注意以下几点:升级固件之后无法卸载或者回滚到此前版本。升级固件更新也会同步升级中间落下的一些更新内容,从而确保 Surface Pro 8 保持最新状态。安装更新后,重新启动设备以完成安装过程。
Win7 停止支持之际,微软奇怪地为其加入 UEFI 安全启动功能
IT之家 1 月 10 日消息,对 Windows 7 的扩展安全更新(ESU)支持今天结束,这意味着微软将不再通过“补丁星期二”为该系统发布安全更新,用户将不得不升级到受支持的 Windows 版本,或依靠非官方的补丁,如 0patch 的补丁。奇怪的是,微软最近似乎在 Windows 7 上启用了原生 UEFI 和安全启动(Secure Boot )功能。微软在 9 月的补丁星期二(KB5017361)中对 Windows 7 进行了这一重大改变,但官方没有在更新说明中提到这个内容。
安全头条 |7项网络安全推荐性国家标准计划下达; 微软发现新的针对物联网设备攻击手段
上周安全热点回顾• 关于下达7项网络安全推荐性国家标准计划的通知(附清单)• 国家标准《网络安全标准实践指南—车外画面局部轮廓化处
微软将于本周二结束 Windows 7 扩展安全更新
从本周二开始,微软将不再为专业版和企业版的Windows 7提供扩展安全更新。与此同时,雷德蒙公司鼓励Windows 7设备用户升级到更高的Windows操作系统版本,特别是Windows 11,尽管它在市场表现上仍然落后于老的Windows 10系统。
2009年10月,微软推出了Windows7,后来分别在2015年1月和2020年1月达到其支持结束和延长支持结束的日期。这促使希望停留在Windows 7的用户转向微软的扩展安全更新(ESU)计划。然而,这一计划的更新也将于1月10日星期二结束,与Windows 8.1的EOS时间节点一致。
微软建议那些将受到影响的人升级他们的系统或设备。
高通骁龙通告 22 个安全漏洞,联想、微软和三星设备受影响
高通公司 2023 年 1 月的安全公告解决了其骁龙套件中的 22 个软件漏洞。固件保护公司Binarly的efiXplorer团队,OPPO琥珀安全实验室的Zinuo Han,IceSword Lab的Gengjia Chen,研究人员nicolas(nicolas1993),STEALIEN的Seonung Jang和百度安全的Le Wu报告了一些漏洞。
以下是公司解决的最严重漏洞报告:
最严重的缺陷是跟踪为 CVE-2022-33219 的汽车缓冲区溢出的整数溢出(CVSS 得分 9.3)。“汽车中的内存损坏是由于整数溢出到缓冲区溢出,同时向共享缓冲区注册新侦听器。
正式退出历史舞台:微软 Win7/8.1 今日结束支持,不会再获得安全更新
IT之家 1 月 10 日消息,微软的 Windows 8.1 操作系统在近十年后终于要结束支持了,从今天(2023 年 1 月 10 日)起,微软将不再为该操作系统提供软件更新、技术支持或安全补丁。微软将在本周二的例行更新中释出 Windows 8.1 的最后一次安全更新。Windows 8.1 没有获得与 Windows 7 相同的 Extended Security Updates 付费扩展安全更新待遇,因此在最后一个安全更新释出之后,微软将停止支持 Windows 8.1,用户可以继续使用,但微软或其它任何人不会再修复安全问题。
高通骁龙通告22个安全漏洞,联想、微软和三星设备受影响
高通公司 2023 年 1 月的安全公告解决了其骁龙套件中的 22 个软件漏洞。固件保护公司Binarly的efiXplorer团队,OPPO琥珀安全实验室的Zinuo Han,IceSword Lab的Gengjia Chen,研究人员nicolas(nicolas1993),STEALIEN的Seonung Jang和百度安全的Le Wu报告了一些漏洞。以下是公司解决的最严重漏洞报告:最严重的缺陷是跟踪为 CVE-2022-33219 的汽车缓冲区溢出的整数溢出(CVSS 得分 9.3)。“汽车中的内存损坏是由于整数溢出到缓冲区溢出,同时向共享缓冲区注册新侦听器。
微软周二发布Windows 8.1最后一次安全更新
微软在周二的例行更新中发布了Windows 8.1的最后一次安全更新。Windows 8.1没有获得与Windows 7相同的 Extended Security Updates 扩展安全更新待遇,因此在最后一个安全更新释出之后,微软将停止支持 Windows 8.1,用户可以继续使用,但微软或其它任何人不会再修复安全问题。微软也在周二发布了Windows 7的最后一次安全更新,但此后还是会有商业公司继续提供付费更新,ACROS Security 的第三方安全平台 0patch 将会至少支持 Windows 7 两年,每年付费25美元。
微软将在本周二释出 Windows 8.1 的最后一次安全更新
微软将在本周二的例行更新中释出 Windows 8.1 的最后一次安全更新。Windows 8.1 没有获得与 Windows 7 相同的 Extended Security Updates 扩展安全更新待遇,因此在最后一个安全更新释出之后,微软将停止支持 Windows 8.1,用户可以继续使用,但微软或其它任何人不会再修复安全问题。微软也将在周二释出 Windows 7 的最后一次安全更新,但此后还是会有商业公司继续提供付费更新,ACROS Security 的第三方安全平台 0patch 将会至少支持 Windows 7 两年,每年付费 25 美元。
黑客滥用微软 Win10 / Win11 上错误报告工具,通过 DLL 旁加载技术运行恶意软件
IT之家 1 月 5 日消息,黑客滥用微软 Win10 / Win11 系统中内置的错误报告工具 Windows Problem Reporting(WerFault.exe),通过 DLL 旁加载技术在受感染设备的内存上运行恶意软件。黑客首先通过合法的 Windows 可执行文件来启动恶意软件,整个过程并不会触发任何警告,从而隐蔽的感染设备。K7 Security Labs 安全公司率先发现了这种攻击方式。恶意软件活动始于一封带有 ISO 附件的电子邮件。
微软考虑在必应中加入ChatGPT
为了吸引用户使用它的搜索引擎,微软考虑在必应中加入 OpenAI 的聊天机器人 ChatGPT。微软仍在权衡聊天机器人回答问题的准确性和将其整合到搜索引擎的速度有多快。该功能一开始可能只提供给少部分用户。微软必应的市场份额要远小于 Google,据知情人士的消息微软已经测试了 ChatGPT 几个月时间。软件巨人此前向 OpenAI 投资了 10 亿美元。过去两个月 ChatGPT 吸引了广泛关注,被认为有可能部分取代搜索引擎。但它回答问题的准确性仍然备受质疑,OpenAI CEO Sam Altman 上个月表示,在任何重要的问题上依赖 ChatGPT 是错误的。
发布时间:2023-01-05 13:22 |
阅读:682711 | 评论:0 |
标签:微软
微软 Win7/8.1 将在 1 月 10 日停止获取关键安全更新,Edge 浏览器 109 提供最后版本支持
IT之家 1 月 4 日消息,微软将在 1 月 10 日停止 Windows 7 和 Windows 8.1 的安全更新和技术支持。对于数百万仍在电脑上运行 Windows 7 的用户来说,时间已经不多了。同时也标志着微软 Edge 浏览器 109 即将推出,这是支持这些老旧 Windows 操作系统的最后一个版本。图源 UnsplashIT之家获悉,微软 Edge 并不是唯一抛弃 Windows 7 和 Windows 8.1 的主要浏览器。去年 10 月,谷歌宣布 Chrome 将在今年 2 月 7 日结束对 Windows 7 和 Windows 8.1 的支持。
微软发现:新的攻击手段已影响全球不同类型物联网设备一年之久
新发现的Zerobot僵尸网络继续发展,越来越多地针对连接设备。
根据微软发布的一份报告显示,最新版本Data to Drag的恶意软件Zerobot 1.1增加了新的漏洞和分布式拒绝服务攻击能力,将恶意软件的影响范围扩大到不同类型的物联网设备。研究人员曾于去年11月首次发现Zerobot。
Zerobot 影响各种设备,包括防火墙设备、路由器和摄像头,将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中。使用多个模块,该恶意软件可以感染构建在不同体系结构和操作系统上的易受攻击的设备,找到要感染的其他设备,实现持久性并攻击一系列协议。
因微软在未经用户明确同意的情况下在用户计算机中投放广告cookie。
近日,法国隐私监管机构对微软爱尔兰子公司处以了6000万欧元(约合人民币4.45亿元)的罚款,因微软在未经用户明确同意的情况下在用户计算机中投放广告cookie,这违反了欧盟的数据保护法。法国国家信息与自由委员会(CNIL)于2020年9月和2021年5月对Bing搜索引擎进行了多次检查。CNIL发现,当用户访问“bing.com”时,微软未经用户同意就将cookie存放在用户的终端上。CNIL指出,微软没有给访问Bing主页的用户提供“像接受cookie那样容易拒绝cookie的机制”。
发布时间:2022-12-27 21:26 |
阅读:115278 | 评论:0 |
标签:微软
因未经用户同意存放cookie,微软被罚6000万欧元
近日,法国隐私监管机构对微软爱尔兰子公司处以了6000万欧元(约合人民币4.45亿元)的罚款,因微软在未经用户明确同意的情况下在用户计算机中投放广告cookie,这违反了欧盟的数据保护法。法国国家信息与自由委员会(CNIL)于2020年9月和2021年5月对Bing搜索引擎进行了多次检查。CNIL发现,当用户访问“bing.com”时,微软未经用户同意就将cookie存放在用户的终端上。CNIL指出,微软没有给访问Bing主页的用户提供“像接受cookie那样容易拒绝cookie的机制”。
发布时间:2022-12-27 18:24 |
阅读:111699 | 评论:0 |
标签:微软
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
