IT之家 10 月 1 日消息，微软已经发布了 Surface Book 3 的 2022 年 9 月固件更新，适用于所有 13 英寸和 15 英寸版本，更新内容如下：解决关键安全漏洞并提高系统稳定性。改进设备热管理。

微软已经证实，两个未打补丁的Exchange服务器零日漏洞正被网络犯罪分子在现实世界攻击中利用。越南网络安全公司GTSC在2022年8月首次发现了这些缺陷，是其对客户网络安全事件的部分回应，该公司表示，这两个零日漏洞已被用于对其客户环境的攻击，时间可追溯到2022年8月初。 微软安全响应中心（MRSC）周四晚些时候在一篇博文中说，这两个漏洞被确认为CVE-2022-41040，是一个服务器端请求伪造（SSRF）漏洞，而第二个被确认为CVE-2022-41082，当PowerShell被攻击者访问时，允许在一个有漏洞的服务器上执行远程代码。

近日，微软称某勒索组织正在对合法的开源软件进行木马化，并将其用于技术、国防和媒体娱乐等许多行业的后门组织。目前黑客武器化用户部署恶意软件或木马后门的开源软件列表包括 PuTTY、KiTTY、TightVNC、Sumatra PDF Reader 和 muPDF/Subliminal Recording 软件安装程序。据 Mandiant报道， PuTTY 和 KiTTY SSH 客户端还被用于在虚假工作技能评估中为目标设备安装后门。该木马化软件在 2022 年 4 月下旬至 9 月中旬用于社会工程攻击，主要针对在英国、印度和美国的 IT 和媒体组织工作的工程师和技术支持专业人员。

微软本周为其 Endpoint Configuration Manager 解决方案发布了一个带外更新，以修补一个漏洞，该漏洞可能对黑客目标组织网络中移动有用，该漏洞被跟踪为CVE-2022-37972。据悉，Trimarc Security 的Brandon Colley报告了该漏洞。 微软在其公告中表示，没有证据表明该漏洞被利用，但该漏洞已被公开披露。 Prajwal Desai 发表了一篇描述补丁的简短博客文章，但 Colley 告诉 SecurityWeek，他尚未公开任何信息，并指出他一直在与微软合作进行协调披露。

IT之家 9 月 20 日消息，上周末 R 星备受期待的游戏大作《GTA6》的测试版游戏视频在网上泄露，引起业界轰动，成为有史以来最重大的游戏泄密事件。然而让人意外的是，这次泄密事件背后的黑手仅是一个 16 岁的青少年。知名黑客、黑客论坛 BreachForums 的所有者“pompompurin”曝光了《GTA6》泄露事件黑客的身份，他表示罪魁祸首是网络犯罪团队 Lapsus$ 的负责人，年仅 16 岁的 Tea Pot。其在 Telegram 聊天中承认入侵了 R 星并展示了证据，但聊天记录很快就遭到了删除。

IT之家 9 月 20 日消息，otto-js 安全团队最近的研究发现，正在由 Microsoft 编辑器和 Google Chrome 中增强的拼写检查设置检查的数据分别被发送回 微软和谷歌。这些数据包括了用户名、电子邮件、DOB、SSN，以及基本上输入到由这些功能检查的文本框中的任何内容。作为附加说明，这些功能甚至可以发送密码，但只有当按下“显示密码”按钮时，才能将密码转换为可见文本，然后对其进行检查。关键问题围绕敏感的用户个人身份信息 (PII) 解决，这是访问内部数据库和云基础设施时企业凭据的关键问题。

Google Chrome 和 Microsoft Edge 网络浏览器中的扩展拼写检查功能分别将表单数据（包括个人身份信息 (PII) 和某些情况下的密码）传输给 Google 和 Microsoft。虽然这可能是这些网络浏览器的已知和预期功能，但它确实引起了人们对传输后数据会发生什么以及这种做法可能有多安全的担忧，特别是在涉及密码字段时。Chrome 和 Edge 都启用了基本的拼写检查器。但是，当用户手动启用 Chrome 的增强拼写检查或 Microsoft 编辑器等功能时，就会出现这种潜在的隐私风险。

北京时间 9 月 20 日消息，上周 Uber 遭受黑客攻击，曾暂时关闭内部通信系统，本周一，Uber 宣称这名黑客与 Lapsus$ 黑客组织有关。按照 Uber 的说法，黑客并没有偷走任何用户账户信息，也没有获得存储敏感信息的数据库。Uber 说：“攻击者曾入侵几个内部系统，我们在调查时关注的重点是攻击有没有造成重大影响。”调查还在继续。周五的攻击导致 Uber 内部通信系统短暂关闭，员工只能用 Salesforce 信息应用 Slack 交流。在获得双重认证许可后，黑客进入承包商的 Uber 账户，进而进入几名员工的账户和工具，比如 G-Suite 和 Slack。

IT之家 9 月 19 日消息，谷歌 Chrome 可能会获得类似于微软 Edge 的侧边栏搜索功能。这将允许用户突出显示网页中的任何文本，以在网络上查找有关它的更多信息，而无需打开新标签。搜索结果显示在当前网页右侧的窗格中，显示所有相关链接、图像、定义和视频。现在，谷歌 Chrome 似乎也将获得另一项微软 Edge 功能，属于安全性增强。微软 Edge 浏览器实际上提供了“使用设备密码登录”设置。IT之家获悉，当用户在表单中自动填充密码时，这会增加新的安全层，它会在自动填充密码之前提示用户输入设备凭据。从本质上讲，设备凭据可充当用户通过 Edge 浏览的任何网站上自动填充凭据的一种主密码。

9月13日，微软惯例的星期二补丁日，这天微软披露了64个漏洞，包括两个零日漏洞，其中一个已遭利用。据昨日发布的累积更新公告，有5个漏洞被评为“严重”，57 个被评为“重要”。微软所披露的遭利用的零日漏洞（CVE-2022-37969）影响 Windows 通用日志文件系统驱动程序。通用日志文件系统（CLFS）中的此错误允许经过身份验证的攻击者以提升的权限执行代码。想要利用它，攻击者必须已经拥有访问系统的权限并能够在其上运行代码。这种性质的漏洞通常被包装成某种形式的社会工程学攻击，例如说服攻击目标打开文件或单击链接。一旦攻击目标如此做，攻击者就能够以提升的权限执行其他代码以接管系统。

在本月的补丁星期二活动日中，微软共计修复 63 个漏洞，其中一个漏洞已有证据表明被黑客利用。在本次修复的漏洞中，有五个漏洞标记为“关键”，均可执行远程代码，这也是最严重的漏洞类型。 访问：阿里云1核2G云服务器低至1折 最高可得500元满减优惠券 根据官方更新日志，本月修复的 63 个漏洞包括● 18 个提权漏洞● 1 个安全功能绕过漏洞● 30 个远程代码执行漏洞● 7 个信息披露漏洞● 7 个拒绝服务漏洞● 16 个基于 Chromium 的 Edge 漏洞上述计数不包括补丁星期二之前在 Microsoft Edge 中修复的 16 个漏洞。

微软表示，一个由伊朗政府撑腰的威胁组织一直在多起攻击中滥用BitLocker Windows功能，以加密受害者的系统，微软将它跟踪分析的这个组织编号为DEV-0270（又名Nemesis Kitten）。微软的威胁情报团队发现，该威胁组织能够快速利用新披露的安全漏洞，并在攻击中广泛使用非本地二进制文件（LOLBIN）。这与微软的发现结果：DEV-0270在使用BitLocker相一致，这项数据保护功能可在运行Windows 10、Windows 11或Windows Server 2016 及更高版本的设备上提供全卷加密服务。

微软表示，一个由伊朗政府撑腰的威胁组织一直在多起攻击中滥用BitLocker Windows功能，以加密受害者的系统，微软将它跟踪分析的这个组织编号为DEV-0270（又名Nemesis Kitten）。微软的威胁情报团队发现，该威胁组织能够快速利用新披露的安全漏洞，并在攻击中广泛使用非本地二进制文件（LOLBIN）。这与微软的发现结果：DEV-0270在使用 BitLocker相一致，这项数据保护功能可在运行Windows 10、Windows 11或Windows Server 2016及更高版本的设备上提供全卷加密服务。

微软Defender将Chrome、Edge、Electron等错误标记为Win32/Hive.ZY。9月4日，微软推送Defender签名更新1.373.1508.0时加入了2个新的威胁检测，包括Behavior:Win32/Hive.ZY。微软Win32/Hive.ZY检测页面称，可疑行为的通用检测是为了找出可能的恶意文件。如果用户通过邮箱下载或接收文件，在打开之前需要确保其来源是可靠的。

微软的威胁情报部门周三评估说，被追踪为磷的伊朗威胁行为者的一个子小组正在进行勒索软件攻击，作为一种“月光形式”，以谋取个人利益。 这家科技巨头正在以DEV-0270（又名Nemesis Kitten）的名义监控活动集群，该公司表示，它由一家以公共别名Secnerd和Lifeweb运营的公司运营，理由是该集团与这两个组织之间的基础设施重叠。“DEV-0270利用高严重性漏洞的漏洞来访问设备，并以早期采用新披露的漏洞而闻名，”微软表示。“DEV-0270还在整个攻击链中广泛使用离地二进制文件（LOLBIN）进行发现和凭据访问。这延伸到它滥用内置的BitLocker工具来加密受感染设备上的文件。

前情回顾·科技巨头的网络安全战略千亿营收、万人团队：微软安全已成为网络安全霸主制造问题，收保护费？微软网络安全霸主地位的“阴暗面”微软商议收购曼迪安特/Mandiant，成为安全情报霸主微软近一年发放了1亿元漏洞赏金：平均每个漏洞8.5万元用过微软软件的读者大概都见过这项功能：一旦某款软件（例如Office或者Windows）发生崩溃，系统会要求用户将故障报告发送给微软。多年以来，这些报告帮助微软修复了不计其数的软件漏洞。但直到2007年，软件巨头才意识到，这些每月收到的数十亿份报告在安全领域同样具有重大价值。

据The Verge 8月31日消息，TikTok安卓版存在一个高危漏洞，攻击者可能借此实现一键式账户劫持，影响数亿用户。微软365防御研究小组在一篇博文中披露了该漏洞的细节，影响范围为23.7.3之前的安卓版本。在微软向TikTok报告后，该漏洞已打上补丁。博文披露，一旦TikTok用户点击一个特制链接，攻击者就可以在用户不知情的情况下劫持账户，访问和修改用户的个人资料、敏感信息、发送消息、上传视频。该漏洞影响了安卓应用的deeplink（深度链接）功能。

IT之家 9 月 2 日消息，微软 Windows 11 和 Windows 10 等平台的 Edge 浏览器 105 正式版已经面向稳定渠道用户推出，为 IE 模式的云站点列表管理体验带来了安全性改进和增强等。增强的安全模式改进：增强的安全模式现在支持 x64 Windows 的 WebAssembly。预计未来会有更多的跨平台支持。改进了 IE 模式的云站点列表管理体验：用户可以在 Microsoft 365 管理中心恢复到站点列表的最后 3 个已发布版本之一。

微软在 2 月份发现并报告了 TikTok Android 应用程序中的一个高度严重的漏洞，该漏洞允许攻击者通过诱骗目标点击特制的恶意链接，一键“快速而安静地”接管账户。该安全漏洞被跟踪为 CVE-2022-28799，目前尚未发现该漏洞被利用的证据。Microsoft 365 Defender 研究团队的 Dimitrios Valsamaras 说：“如果目标用户只是单击特制链接，攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。此外，还可以访问和修改用户的 TikTok 个人资料和敏感信息。

IT之家 8 月 28 日消息，微软 Windows 11 作为全新一代操作系统，对于设备要求包括 TPM 2.0、安全启动、基于虚拟化的安全（VBS）等，导致部分设备无法升级。而根据最新发现的文件，微软早在 Windows 10 中就开始为 TPM 和安全启动等铺路。据推特爆料者 Xeno 在 Windows 10 Build 21327 版本中发现的信息，appraiserres.dll 文件中出现了关于 TPM、安全启动的描述。

IT之家 8 月 26 日消息，近期，微软面向 Dev 开发频道发布了 Windows 11 预览版 Build 25188 更新。微软在此版本尝试新的触摸键盘设置，Windows Terminal 现在是默认终端。此版本包括一组很好的修复程序，以改善 Windows 预览体验成员的整体体验。尽管日志里没有提及，但微软可能已经开始对 Windows 11 安全性进行了一些增强。Twitter 用户 Xeno 发现，该预览版中存在用于 Microsoft 安全核心启动 (msseccore.sys) 的新更新驱动程序。

Hackernews 编译，转载请注明出处： SolarWinds供应链攻击背后的黑客与另一个“高度目标化”的后门恶意软件有关，该恶意软件可用于保持对受损环境的持久访问。 微软威胁情报团队称之为MagicWeb，该开发重申了Nobelium对开发和维护专用功能的承诺。 Nobelium是这家科技巨头的绰号，因为2020年12月针对SolarWinds的复杂攻击曝光了一系列活动，并与俄罗斯民族国家黑客组织APT29，Cozy Bear或The Dukes重叠。 微软表示：“Nobelium仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织、政府间组织和智囊团开展了多项活动。

IT之家 8 月 26 日消息，Microsoft Security 博客官方发布的最新《Cyber Signals》报告指出，绝大多数勒索软件攻击始于网络犯罪分子利用常见的网络安全错误，如果正确管理，可以防止大多数受害者成为攻击的牺牲品。IT之家了解到，微软分析了真实威胁活动的匿名数据，根据该报告，微软发现超过 80% 的勒索软件攻击可以追溯到软件和设备的常见配置错误。这些错误包括：应用程序处于默认状态，允许整个网络的用户访问；安全工具未经测试或配置不当；云应用程序的设置方式很容易让未经授权的入侵者获得访问权；以及组织没有应用微软的攻击面减少规则，这使得攻击者可以使用宏和脚本运行恶意代码。

Microsoft Security 博客官方发布的最新《Cyber Signals》报告指出，勒索软件即服务 (RaaS)日益猖獗，但是常规的软件设置就能应对，可以阻止大部分勒索软件攻击。此外，报告中还发现客户错误配置云服务、依赖不可靠的安全软件、通过默认宏设置流量勒索软件，这导致微软制造了某种勒索软件攻击，即人为操作的勒索软件。 在报告中指出：“你可能会使用某个热门应用来实现某种目的，但是这并不意味着攻击者将其武器化以实现另一个目标。其中最为常见的是，应用的‘经典’配置意味着它的默认状态，允许该组织内的任意用户进行广泛访问。不要忽视这种风险，也不要担心中断而更改应用设置”。

Microsoft Security 博客官方发布的最新《Cyber Signals》报告指出，勒索软件即服务 (RaaS)日益猖獗，但是常规的软件设置就能应对，可以阻止大部分勒索软件攻击。此外，报告中还发现客户错误配置云服务、依赖不可靠的安全软件、通过默认宏设置流量勒索软件，这导致微软制造了某种勒索软件攻击，即人为操作的勒索软件。 访问：阿里云服务器精选特惠：1核1G云服务器低至0.9元/月 在报告中指出：“你可能会使用某个热门应用来实现某种目的，但是这并不意味着攻击者将其武器化以实现另一个目标。其中最为常见的是，应用的‘经典’配置意味着它的默认状态，允许该组织内的任意用户进行广泛访问。

在过去我们经常看到 Google 旗下的“Project Zero”团队曝光各种 Windows 系统漏洞，不过在几个月前微软披露了存在于 ChromeOS 系统中的一个漏洞。根据 Chromium 错误日志，微软的 365 Defender Research 团队发现了 Security: ChromeOS cras D-Bus SetPlayerIdentity，会导致内存严重损坏。 访问：阿里云服务器精选特惠：1核1G云服务器低至0.9元/月 在日志中写道：“在定位到本地内存损坏问题后，我们发现该漏洞可以通过操纵音频元数据远程触发。

Hackernews 编译，转载请注明出处： 微软公开披露一个关键ChromeOS漏洞的详细信息，该漏洞被追踪为CVE-2022-2587（CVSS评分：9.8）。该漏洞是OS Audio Server中的越界写入问题，可利用该漏洞触发DoS条件，或在特定情况下实现远程代码执行。 “微软在ChromeOS组件中发现了一个可远程触发的内存损坏漏洞，允许攻击者执行拒绝服务（DoS），或在极端情况下执行远程代码执行（RCE）。”微软发布的公告中写道。 作为Chromium bug跟踪系统的一部分，微软于2022年4月向谷歌报告了该问题。

根据网络安全研究公司 spiderSilk报告，多名来自微软的员工在 GitHub 上暴露了自己在公司内部的敏感登录凭证，为攻击者提供了可能进入微软内部系统的途径。 ，该漏洞首先由网络安全研究公司 spiderSilk 报告。spiderSilk 在此次安全事件中总共发现了 7 个暴露的微软内部登陆凭证，所有这些都是 Azure 服务器的凭证。其中有 3 个仍处于激活状态，虽然其他 4 个凭证不再处于活跃状态，但仍然凸显了员工意外上传内部系统凭证的风险。 随后微软证实暴露了内部登陆凭证，但微软拒绝详细说明凭据正在保护哪些系统。

微软正在敦促用户修补一个名为Dogwalk的0 day漏洞，该漏洞目前在野外一直被大量攻击利用。该漏洞（CVE-2022-34713）与微软Windows支持诊断工具有关，它允许远程攻击者在有漏洞的系统上执行任意代码。该警告是在8月大规模补丁更新时发布出来的，该更新还包括了121个漏洞，其中17个是关键性的，101个带有通用漏洞评分系统的重要评级。0 day计划经理在星期二的博文中写道，本月发布的修复数量明显高于8月预期发布的数量。它几乎是去年8月份的三倍，并且该数量在今年每月发布的漏洞数量中位于第二名。

01CS:GO 皮肤交易网站被黑据消息称，著名射击游戏CS:GO最大的皮肤交易平台之一 ( CS.MONEY）在一次黑客攻击后被窃取了2万件、总价值约为600万美元的游戏皮肤，并导致网站被迫下线。相关链接：https://www.freebuf.com/news/342126.html02微软员工在 GitHub 上意外泄漏登录凭据据报道称，微软员工意外在GitHub平台上暴露了公司在线基础设施的敏感登录凭据。这些凭证首先由网络安全研究公司 spiderSilk 发现，随后由微软证实。