记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

问题足够严重可以停止云服务 微软发布云安全问题归责

微软近期发布了Azure安全指南,明晰问题归责细节。共有两份文档阐述了问题的解决方法。其一为《云计算共有责任》,解释微软的安全责任分类方式。基本原则是:1. 内部IT的所有问题都是客户的责任2. 将Azure作为基础设施即服务(IaaS)使用时:建筑、服务器、网络硬件和管理程序是微软的责任操作系统、网络配置、应用程序、ID、客户端和数据是客户的责任3. 作为平台即服务(PaaS)使用时:网络控制是微软的责任操作系统、应用程序、ID、客户端和数据还是客户的责任4. 使用软件即服务(SaaS)时,全都是微软的责任,但数据分类、终端安全和用户管理还是你的责任另一份文档是新的白皮书,题为《微软Azure云端安全响应》,阐述了该公司在Azure出现问题时会怎样响应。白皮书显示,微软采用以下5个步骤维护Azure边界安全:
发布时间:2016-04-27 21:20 | 阅读:92654 | 评论:0 | 标签:行业动态 Azure 云安全 微软

微软的潮流范儿:死之蓝屏里加上了二维码

如果你是一名微软Windows用户,你可能曾经遇到过臭名昭著的“死之蓝屏”(BSOD)。无奈的死之蓝屏死之蓝屏通常出现在Windows遇到关键性的硬件或者软件问题的时候,它会显示一个悲伤的表情,然后除了“你的电脑坏了”这句逗逼话,就没有然后了。但是现在,微软已经做出了一些调整。在微软周年纪念日的更新里,他们试图让死之蓝屏能带给用户一些更有用的东西。新的二维码特性微软在Windows 10的死之蓝屏里加上了二维码,方便用户识别设备中潜在的问题。新的二维码特性将出现在Windows 10预览版(Build 14316),也就是今年夏天Windows 10的周年纪念更新里。在今后的日子里,您的操作系统出问题时,看到的不会只是一个悲伤的脸,还有一个有用的二维码:你可以用手机扫描二维码,然后会被定向
发布时间:2016-04-15 13:05 | 阅读:101512 | 评论:0 | 标签:系统安全 二维码 微软 蓝屏

微软最新账户身份验证漏洞分析

英国安全顾问Jack Whitton在微软的身份验证系统中发现了一个重要漏洞,攻击者可访问用户的Outlook、Azure和Office账户,为此微软支付了1.3万美元奖金。该漏洞与Wesley Wineberg发现的“OAuth CSRF in Live.com”漏洞类似,唯一的不同在于该漏洞影响的是微软的主身份验证系统,而不是OAuth保护机制。微软在多个域(*.outlook.com, 、*.live.com等)中提供不同的服务,并且通过向login.live.com、login.microsoftonline.com和login.windows.net发送请求来解决跨服务的身份验证,为用户建立会话。outlook.office.com的流程如下:1、用户浏览https://outl
发布时间:2016-04-07 19:45 | 阅读:188821 | 评论:0 | 标签:漏洞 微软 身份验证系统

微软SQL Server透明数据加密(TDE)剖析及破解(上)

本次调查开始于一个我和客户讨论:他们是否应该安装TDE。如果我们要选出一个最合适的进行静态数据加密的工具,那么非TDE莫属,但是它有一个明显的缺陷。视频 任何加密自己数据的软件都有一个功能性问题:如果它希望使用自己的数据,就需要对自身数据进行解密。举个例子,如果SQL服务器想要向加密数据库中写入数据,之后把数据返回给用户,他需要合适的解密密钥进行这个操作。如果系统还需要在无需人工干预的情况下就可以boot,敏感功能无法被单独嵌入到保护性硬件中,之后密钥必须储存在系统的某个位置中,以便服务器在启动时能够访问它。然而,如果密钥被存储在系统中,那所有人都有接入权限,如果整个系统被北方,密钥也会被备份,所以所有数据都会被轻易读取。“很明显”,解决方法是在储存所有数据之
发布时间:2016-03-24 17:15 | 阅读:113735 | 评论:0 | 标签:安全管理 网络安全 SQL 微软 加密

微软“WebDAV”提权漏洞(cve-2016-0051)初探

*原创作者:gongmo(聚锋实验室)注意:本分析一切结果均在win7 x86 sp1中尝试。1.关于cve-2016-0051在微软的官方描述中如下:如果 Microsoft Web 分布式创作和版本管理 (WebDAV) 客户端验证输入不当,那么其中就会存在特权提升漏洞。成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。若要利用此漏洞,攻击者首先必须登录系统。然后,攻击者可以运行一个为利用此漏洞而经特殊设计的应用程序,从而控制受影响的系统。工作站和服务器最易受此攻击威胁。此安全更新程序通过更正 WebDAV 验证输入的方式来修复这个漏洞。通过微软的介绍,此漏洞是一个限定系统的提权漏洞,因为此漏洞在win8或者更高的系统上是触发BSOD,而在win7及以下的系统中才能提权成功。所以微
发布时间:2016-03-14 11:55 | 阅读:92187 | 评论:0 | 标签:漏洞 CVE-2016-0051 WebDav 微软 提权漏洞 提权

Microsoft OAuth接口XSS,影响用户账号安全

有一天,当我在浏览Twitter上的信息时,我发现了一篇非常有趣的文章,Wesley Wineberg在微软OAuth 认证接口发现的一个CSRF漏洞。这篇文章让我好奇的同时也激起了我能在这个地方再找到一个漏洞的信心(作者谜一样的自信),因此我打算深入分析一下这个认证接口。首先,要在我们的测试app上使用OAuth认证,我们需要先注册一个app。经过搜索,我发现了一个链接,点击后会来到”微软开发者中心”,我发现在这里注册app的话会要求我填写“应用名”和“语言”。任何允许用户输入的地方都有可能是触发xss的入口点,所以我插入了xss攻击向量:’”></script><img src=x onerror=prompt(1)>。很不幸的是
发布时间:2016-03-09 09:15 | 阅读:129589 | 评论:0 | 标签:WEB安全 OAuth xss 微软

以已之道 还施彼身 微软EMET可被利用卸载自身保护功能

微软增强防御体验工具包(EMET)是一个面向企业的免费工具,可以使其 Windows 计算机和应用对于已知及未知的软件漏洞拥有更强的防御能力。然而,黑客能够轻松地让这一工具无效化。来自安全厂商火眼的研究人员找到了一种方法,可以通过利用该工具中的某一合法函数,停止 EMET 的加强防御功能。微软在2月2日发布的 EMET 5.5 中修补了这一漏洞,然而,由于这一新版本主要增加了对 Windows 10 的兼容性,没有带来明显的安全性能提升,可能还有很多用户并未升级这一功能。EMET 最初发布于2009年,它可以对应用执行如数据执行防护(DEP)、地址空间布局随机化(ASLR)、导出表地址过滤(EAF)等现代化的漏洞防御机制,它对于没有附带此类机制的老应用而言尤其有效。通过使用这一工具,黑客将更难利用此类应用中的漏
发布时间:2016-02-27 04:20 | 阅读:95117 | 评论:0 | 标签:威胁情报 EMET 微软 漏洞

【黑客代码】好莱坞医院被勒索软件弄瘫痪 攻击者索要360万赎金

0x11–CSO好莱坞长老会医疗中心的计算机系统已经被勒索软件搞垮了一个多星期。虽然警方及FBI已经展开调查,但目前医院人员只能在焦头烂额的应付丢失的邮件以及患者的数据查询需求。好莱坞长老会医疗中心由于攻击的发生,导致一些患者被转往其他的医院。因为该医院一些必备的功能,如CT扫描、文档记录、实验室和药房的系统均已下线,医生们只能用笔来记录,并通过传真机和电话工作。目前勒索软件的详情并未披露,但内部计算机人员表示,攻击者索求9000比特币,价值约超过360万美元。0x12–Microsoft微软上周发布13个补丁更新,其中一个堪称漏洞之王,影响一切微软支持的Windows版本。该漏洞编号为MS16-013,远程攻击者可通过欺骗已登录用户打开特殊构造的日志文件执行任意代码,并运行恶意程序,删
发布时间:2016-02-16 23:00 | 阅读:100656 | 评论:0 | 标签:牛闻牛评 勒索软件 微软 数据泄露 漏洞

Windows最新“WebDAV”提权漏洞介绍(MS16-016)

这个漏洞是由于Windows中的WebDAV未正确处理WebDAV客户端发送的信息导致的。不知各位是否想到了2003年知名的“Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞”呢?漏洞CVE编号:CVE-2016-0051。漏洞信息据微软安全公告描述:如果 Microsoft Web 分布式创作和版本管理 (WebDAV) 客户端验证输入不当,那么其中就会存在特权提升漏洞。成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。若要利用此漏洞,攻击者首先必须登录系统。然后,攻击者可以运行一个为利用此漏洞而经特殊设计的应用程序,从而控制受影响的系统。工作站和服务器最易受此攻击威胁。此安全更新程序通过更正WebDAV验
发布时间:2016-02-16 00:30 | 阅读:160445 | 评论:0 | 标签:漏洞 CVE-2016-0051 MS16-016 WebDav 微软 提权

憋大招:微软寄望Edge浏览器能在JavaScript基准测试中领先

据外媒报道,微软将在即将到来的下一个系统更新中,让Edge浏览器迎来显著的性能提升。这家总部位于Redmond的科技巨头,还带领我们一瞥其如何做到比竞品(以及当前的自己)更好。微软在一篇博客文章中提到,要让Edge的性能“引领业内JavaScript基准测试”,同时撂下了“祝你们有好运能赶上我们”这句挑衅的话。 微软开大口,显然是不把Google Chrome和Mozilla Firefox放在眼里。 当前,微软解释称自己正致力于推动跨多维度的产品安全,“许多的惊喜即将到来”,同时增强键盘滚动性能和交互力。 此外,由于Flash Player对用户计算机性能产生了很大的影响,所以这也是个需要慎重考虑的问题。(更别提补不完的安全漏洞了) 据悉,微软计划将Flash进程单独隔离开来,并暂停到不必要的内容。这么做的
发布时间:2016-02-05 09:30 | 阅读:74015 | 评论:0 | 标签:技术 Edge Soft Pedia 微软 浏览器

微软拟在发现政府支持入侵行为时向用户发出警示

据美国《华尔街日报》12月31日报道,微软称,计划在发现怀疑与政府机构相关的黑客试图侵入其电子邮件和文件储存账户时,向用户发出警示。微软此前向用户提供计算机入侵提示,但不提供可疑入侵者的信息。微软30日称,如果有理由相信入侵账户的行为是受到国家支持的,微软将通知用户。 微软的新政策与Facebook和Twitter最近采取的政策类似。谷歌2012年就开始针对国家支持的网络入侵行为发出警告。上述企业并没有具体指出它们认为哪些国家对入侵行为负有责任。 过去几年曾发生了一系列公众关注度很高的计算机入侵事件。美国国家安全局承包商的前雇员斯诺登也爆料了美国政府的情报收集技术。在一些情况下,美国官员及安全研究人员称,他们已经发现了某个国家与某次网络入侵有关的证据。
发布时间:2015-12-31 23:20 | 阅读:93114 | 评论:0 | 标签:业界 微软 政府

微软更新根证书信任程序列表 将移除20个根证书

微软宣布将移除部分受信任根证书,由于部分CA颁发机构决定退出或者无法满足微软近日更新的微软根证书信任程序要求。微软根证书信任程序为安装在Windows设备中受信任的根证书列表,根证书允许Windwos设备在处理CA颁发机构提供的受信任方的网络连接或安装软件时,无需弹出警告。 2015年六月,微软决定更新其微软根证书信任程序要求,所需要求更加严格,技术更加先进。更严格的要求使得部分CA颁发机构选择退出,而不满足微软新要求的CA机构颁发的根证书也将被微软移除。时至年末,微软正式更新了微软根证书信任程序列表,将在2016年1月正式生效。之前20个信任根证书被移除,列表如下。
发布时间:2015-12-18 20:15 | 阅读:103957 | 评论:0 | 标签:安全 微软 根证书

Windows Server DNS漏洞允许远程代码执行

最近,微软提醒用户运行域名服务(Domain Name Service,DNS)在微软服务器端查找功能来修补一个允许攻击者在受影响的计算机上远程执行代码的漏洞。 微软表示,该漏洞已经被分配了常见漏洞和利用索引词CVE-2015-6125并影响到32位和64位版本的Windows Server 2008,2008 R2 2012和2012 R2,以及精简Server Core的其他变体。 Windows Server Technical Preview技术预览版3和4也受到影响。 攻击者可以利用在Windows DNS中的漏洞简单地通过因特网向系统发送恶意请求。该请求可以设计为在受感染的微软服务器上运行任意代码。 该漏洞是一个内存在已被释放之后又被引用的错误。 微软说,目前还没有找到任何缓解此漏洞的途径或解决方法
发布时间:2015-12-11 22:20 | 阅读:100465 | 评论:0 | 标签:安全 DNS Windows Server 微软 漏洞

微软发布12月重大安全漏洞补丁

据ZDNet网站报道,本周二微软宣布,作为它每月安全公告的一部分,所有Windows用户应该更新自己的操作系统,预防来自至少两个重大漏洞的攻击。MS15-128修补了一系列显存崩溃漏洞,后者使得黑客可以安装程序,预览和删除数据,并利用用户权限创建新的账户。这个漏洞最初影响了Windows Vista及之后版本,它还波及了Skype for Business 2016, 微软Lync 2010 和Lync 2013,以及Office 2007 和Office 2010。 另一个重大漏洞MS15-124影响了所有IE 浏览器支持版本,它使得黑客可以获得与当前用户相同的用户权限,受这个漏洞影响最大的是以管理员身份使用电脑的用户。 这次公告里发布的某些漏洞也会影响微软Edge,后者是Windows 10使用的最新浏览器
发布时间:2015-12-10 01:05 | 阅读:96887 | 评论:0 | 标签:安全 安全漏洞 微软 漏洞

微软将对开源社区开放部分Edge JavaScript引擎源代码

据外媒报道,现在,微软在开源工作上取得了越来越多的成果,并且它还在继续对开发者社区开放更多的技术。日前,这家公司宣布,他们将在下个月在GitHub上公布来自Chakra JavaScript引擎核心组件的源代码,文件名为ChakraCore。据悉,Chakra JavaScript引擎是微软为优化IE9浏览器性能而开发的一套引擎,同时它还是Edge浏览器的一部分。 微软系统通过将源代码开源化让英特尔、AMD、NodeSource等合作伙伴和开发商协作并改善引擎性能。组件并未包含COM和通用Windows应用(Universal Windows Apps)开发引擎的private bindings。 伴随着JavaScript库和框架使用的不断普及,微软一直在努力优化Chakra引擎,并且它现在相信,若想让它变得
发布时间:2015-12-06 21:40 | 阅读:80890 | 评论:0 | 标签:技术 Chakra JavaScript COM 开发引擎 微软

微软修复Bitlocker驱动器加密工具的绕过漏洞

微软最近修复了Windows Bitlocker驱动器加密中的一个漏洞,这个漏洞可以被用来快速绕过加密功能获取到受害者加密的重要信息。加密软件中的漏洞磁盘加密工具是一个重要的保护软件,所有的电子设备都需要依靠它们来保护用户的数据。在它们出现之前,攻击者只需要启动Linux,然后安装存有用户数据的磁盘就可以访问用户的加密文件了。但是,这些软件也存在着漏洞给黑客们机会。九月,谷歌Project Zero团队的安全专家James Forshaw在Windows系统上安装的加密软件TrueCrypt发现了两个高危漏洞。TrueCrypt去年就改用了微软的Bitlocker。也就是说这两个高危漏洞是Bitlocker的。攻击方法根据Synopsys安全公司的专家Ian Haken最近进行的研究表明,
发布时间:2015-11-20 09:15 | 阅读:124116 | 评论:0 | 标签:工具 漏洞 BitLocker 微软 绕过漏洞 加密

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云