Security News

Windows Defender下载文件的功能现已删除

最近通过删除攻击者可以用来将恶意软件下载到计算机中的漏洞,删除了使用Windows Defender下载文件的功能。 上周,Microsoft出于未知原因在Windows Defender中添加了此功能。网络安全社区引起了人们的关注,他们认为微软会允许防御者以LOLBIN的身份滥用Defender。 LOLBI或土地居住二进制文件是合法的系统文件,可能会出于恶意目的将其滥用。 TA505 APT组,勒索软件攻击和其他恶意软件攻击是过去使用Windows二进制文件的主要攻击,因此,该攻击不是理论上的。 用户可以通过运行带有-DownloadFIle参数的Microsoft反恶意软件服务命令行实用程序(MyCmdRun.exe)来简单地下载文件,如下所示: MpCmdRun.exe -DownloadFile -url -path 这样,用户可以下载任何文件,包括勒索软件。被激活的Windows Defender将迅速检测到此恶意软件,但可能Windows程序绕过检测的其他安全软件可能无法检测到此下载。 在询问Microsoft为什么添加了此功能后,我们得到了答案:“ Microsoft没有其他可共享的内容了。”  Windows Defender反恶意软件客户端版本4.18.2009.2-0昨天发布,其MpCmdRun.exe功能发生了显着变化。这次,该公司取消了通过MpCmdRun.exe命令行实用工具下载文件的功能。当用户尝试使用MyCmdRun.exe下载文件时,现在将在屏幕上显示“ CmdTool:无效的命令行参数”错误。 删除此功能是一个好步骤,无需为威胁行为者提供一个平台来分发他们的恶意软件并破坏我们的系统。

安全研究人员报告了Visa卡非接触式支付中的新身份验证缺陷

 在Visa支付卡中发现了安全性,使攻击者可以执行一种新的攻击,分类为PIN绕过。这使他们能够操纵支付终端以接受来自非真实卡的卡交易。 来自苏黎世瑞士联邦理工学院(苏黎世联邦理工学院)的研究人员团队是第一个检测到此安全漏洞的人,该漏洞可能允许攻击者执行PIN旁路攻击并进行信用卡欺诈。 通常,使用非接触式卡支付商品和服务的金额是有限制的。当超过此限制时,终止卡将要求持卡人输入PIN进行验证。但是,正如分析人士所表明的那样,使用这种信用卡的罪犯可以利用该漏洞进行购买,而当密码数量超过限制时,他们无需使用PIN就可以购买。  为了进行攻击,骗子需要支付卡详细信息。他们可以通过偷窃或通过各种方式获得来做到这一点。替代方法是使用流行的NFC略读选项来扫描附近的卡并复制其详细信息。 为了演示如何进行攻击,研究人员专门为此目的创建了概念验证应用程序。它用于修改支付终端的行为,这些支付终端旨在在将卡的支付结果发送到设备之前更改其响应。 一旦发动攻击,骗子就可以使用受害者的卡完成购买,并且可以通过修改称为“卡交易资格”的值来克服PIN少的限制。他们使用远程协议滥用连接,使支付终端可以克服PIN验证,并相信持卡人的身份已经得到验证。 研究人员在六个EMV非接触式协议之一上测试了PIN旁路攻击。但是,他们认为这也可以适用于发现协议和银联协议。 研究人员还发现了另一个基于Visa或旧万事达卡进行的离线非接触式交易的漏洞。在这种攻击中,骗子在将卡产生的数据(称为交易密码)修改后才传送到终端。由于在这种情况下,数据是由发卡机构即银行核实的,所以骗子拿着货物一直在风中。

中国黑客通过利用Citrix,F5,Exchange漏洞将目标瞄准美国政府机构和私人组织

FBI和网络安全与基础设施局(CISA)的联合声明指出,中国赞助的黑客正在利用Citrix,F5,Pulse和Microsoft Exchange服务器和设备中的某些漏洞。 声明说,恶意行为者以美国政府和私人公司为目标,目的是通过互联网设备引擎shodan或诸如国家漏洞数据库和常见漏洞与披露之类的漏洞数据库公开暴露易受攻击的设备。 以下是CISA和FBI共同解释的内容: “根据美国司法部最近的起诉书,与MSS关联的参与者针对了美国和其他国家/地区的各种行业,包括高科技制造业;医疗器械,土木和工业工程;商业,教育和游戏软件;太阳能;药品;和防御-持续了十年的运动。这些黑客为自己的个人利益和中国MSS的利益行事。” CISA是国家风险顾问。它旨在捍卫美国免受当今威胁的侵害。它与合作伙伴合作,为该功能提供更安全,更具弹性的基础架构。 CISA的成立日期为2018年11月16日。 据该机构称,明显的缺陷是: CVE-2020-0688:在Microsoft Exchange Server上容易检测到此问题。黑客可以利用此漏洞启用目标网络的邮件收集 CVE-2020-5902:F5 Big-IP中的漏洞。黑客可以利用此漏洞来创建执行任意系统命令,删除或创建文件,执行Java代码和/或禁用服务 CVE-2019-11510:Pulse Secure VPN远程代码中的此漏洞,攻击者可以利用它访问受害者的网络。 CVE-2019-19781:Citrix VPN中的目录遍历漏洞使黑客能够执行目录遍历攻击 由于供应商已经修补了所有这些漏洞,因此,如果私人公司和政府机构部署了最新的安全更新,则可以保护其网络。 来自中国的黑客团队一直在寻找可以利用的软弱点。例如,他们针对定制的Web应用中存在漏洞的服务器。他们滥用可用的错误和其他机会来获取数据。...

Windows 10 KB4576754和KB4576753更新强制安装新的Edge版本

上个月,Microsoft宣布通过新的累积更新将Classic Edge替换为其基于Chromium的新Edge。消息人士称,该公司现在将对KB4576754和KB4576753进行累积更新。 微软正在推出这两个强制性Windows 10累积更新,这些更新将通过替换Windows 10 2004版,1909版,1903版,1809版中的旧版本来安装新浏览器。 要通过下载KB4576753和KB4576754,请转到设置> Windows设置,然后检查更新。此更新的主要功能包括: 当前版本的开始菜单图钉,快捷方式和图块将转移到新的Edge 新的浏览器图钉已添加到任务栏, 通过替换旧的快捷方式向桌面添加快捷方式, 大多数协议已移至较新的浏览器版本, 它结合了设置,文件,应用程序和协议支持对话框, 此更新将旧的Edge浏览器重定向到新的浏览器, 安装新的Edge后,首次运行体验将在设备首次重新启动时自动启动, 新的Edge中将提供当前Edge数据,例如密码,打开的选项卡,收藏夹, 不支持卸载更新 消息人士称,此更新将是一个单向过程,这意味着从设置中获取新更新后,您将无法还原到以前的更新。 但是,如果您可以转到命令提示符并按照以下步骤操作,则可以卸载新的Edge: 单击Windows徽标...

Office 365很快将允许用户查看隔离电子邮件

很快,Office 365用户可以查看并请求释放由EOP或Exchange Online Protection筛选堆栈自动隔离的网络钓鱼邮件。 基于EOP云的服务可用于扫描和隔离垃圾邮件和带有恶意附件的电子邮件,这些电子邮件和附件最终会落入用户的Exchange Online收件箱中。添加此新功能后,最终用户可以收回Office 365 EOP意外将其标记为网上诱骗或垃圾邮件的任何电子邮件。 微软在新功能路线图条目上的解释如下: “我们知道,管理误报对于确保正确发送电子邮件非常重要,并且过去,最终用户没有被授予访问隔离区以查看邮件的权限。”  因此,借助这一新功能,该公司将为用户提供一个新选项,使其具有只读权限以查看和分类隔离的邮件,以及“要求管理员将邮件释放到收件箱”。 微软计划在本月推出新的Office 365 ATP请求发布工作流,并在所有Office 365环境中向所有使用高级威胁防护计划的客户开放。 上个月,Microsoft发布了Office 365的Application Guard,以通过基于硬件的虚拟化打开源自与设备隔离的沙箱中不安全位置的所有文件,从而保护企业用户。 该公司还在努力改善Office 365...

Equinix数据中心和托管服务提供商巨头受到NetWalker Ransomware的打击

 黑客Equinix要求提供4.5美元的赎金,以防止客户的数据公开发布 Equinix受到Netwalker勒索软件攻击的打击,从而导致Equinix的用户数据加密。加密的数据包括财务信息,工资单,会计审计和数据报告。这些数据大多数属于澳大利亚的客户。 卑诗省安全研究人员的共享赎金记录指出,该数据中心和配置提供商公司已被要求支付450万美元赎金,以购买解密程序并防止数据被盗。赎金还指出,如果未按规定时间付款,价格是否会升至两倍。 事件发生后,Equinix在官方发布的声明中表示,这种攻击不会影响对客户的支持。该声明证实,Equinix的数据中心及其服务产品(包括托管服务)仍然可以正常运行。 “请注意,由于大多数客户在Equinix数据中心内操作自己的设备,因此此事件对其操作或Equinix上的设备数据没有影响。” 根据安全研究人员Vitali kremez的说法,Equinix至少拥有74%的远程停止服务器,并且相关的登录凭据目前正在暗网上拍卖。其中,大多数集中在澳大利亚,土耳其和巴西。  关于Netwalker Netwalker勒索软件很可能是Malito Ransomware的变体。 .malito扩展名加上电子邮件地址属于每个加密文件的骗子,使它们无法访问或没有用。然后,丢弃了赎金票据,以向用户提供指示,据称他们可以通过支付赎金来收回文件。该文件中的文本消息因版本而异,并且主要取决于目标用户。

Windows 10 1903生命周期于2020年12月结束

据报道,微软公司将在2020年12月8日终止对Windows 10版本1903版本的支持。该公司已经开始通知用户这一重大决定,并声明您仍将使用Windows 10版本1903或2020年5月10日。在您的设备中进行更新,但Microsoft将在其支持终止时停止为新已知问题提供技术支持和错误修复。 对于那些不知道的人,每个Microsoft Windows产品的生命周期从产品发布时开始,到不再受支持时结束。当我们谈论Windows 10版本1903版本时,它于2019年5月21日发布,意味着去年,并且根据微软的公告,该操作系统版本的支持将在2020年12月8日之后停止。让我们来看看公司陈述。 “您的计算机仍然可以运行,但由于您不会收到新的安全更新或其他质量更新,因此它更容易受到安全风险和病毒的侵害” Windows 10 1903版的产品生命周期将于2020年12月8日停止服务,并且其支持版本结束后,其所有版本将不再收到安全更新。让我们看一下Windows 10版本1903版本的列表,这些版本将于今年12月停止服务。 Windows 10 Home版本1903 Windows 10 Pro版本1903 Windows 10 Pro教育版1903...

针对Linux VoIP软交换的新型CDRThief恶意软件,用于记录呼叫元数据

 CDRThief-在针对特定IP语音系统的野外检测到的新威胁,并通过电话交换设备窃取了呼叫数据记录(CDR)。恶意软件分析家说,这种恶意软件是为特定的Linux VolP平台-Linknat VOS2009 / 3000软交换专门设计的。 软交换是指充当VolP服务器并管理电信网络中流量的软件解决方案。检测到的恶意软件试图破坏易受攻击的VOS2009 / 3000软开关,以从MySQL数据库窃取呼叫元数据。这些数据包括呼叫者的IP地址,电话号码,呼叫的开始时间和持续时间,路由和类型。 在分析中,ESET研究人员得出的结论是,该恶意软件试图通过使用XXTEA密码并随后在可疑外观上运行Base64编码来混淆恶意功能。 MySQL数据库通常受密码保护。 ESET认为作者必须反转这些工程师平台的二进制文件,才能在LInknat代码中获取有关AES的详细信息以及用于解密数据库访问密码的密钥。 CDRThief恶意软件可以读取和解密此密钥,这表明该软件的开发人员非常了解该平台。在使用硬编码的RSA-1024公钥对其进行压缩和加密之后,使用JSON over HTTP将收集到的信息发送到命令和控制服务器。   “基于所描述的功能,我们可以说恶意软件的主要重点是从数据库收集数据。与其他后门不同,Linux / CDRThief不支持shell命令执行或从受感染的软交换机磁盘中窃取特定文件。但是,可以在更新版本中引入这些功能-ESET。 目前,尚不知道该恶意软件如何获得持久性。研究人员认为,命令-exec -a'/...

拜恩通过特制的.theme文件显示了“通过哈希”攻击的可能性

安全研究员吉米·拜恩(Jimmy Bayne)本周末透露,使用某些特制的Windows 10主题存在“通过哈希”攻击的风险,从而使攻击者可以从不受怀疑的用户那里窃取Windows帐户凭据。 向寡妇的用户提供了一种创建自定义主题的功能,其中包含操作系统使用的颜色,声音,鼠标光标和墙纸。他们可以根据自己的选择在不同主题之间切换。主题的设置将另存为文件,位于%AppData%\ Microsoft \ Windows \ Themes文件夹下。 这样的文件末尾带有.theme扩展名。用户也可以共享这些主题。当他们右键单击活动主题并选择“保存以供共享”时,将以打包形式为他们提供主题,以通过电子邮件或在网站上下载进行共享。 “通过哈希”攻击者旨在窃取Windows登录名和密码哈希。为此,他们诱使人们访问需要身份验证的远程SMS共享。在Windows尝试访问远程资源的过程中,他们将通过发送Windows的用户名和密码的NTLM哈希值自动尝试登录到远程系统。 这些凭据是由攻击者在“通过哈希”攻击中收集的。然后,他们尝试对密码进行散列处理以访问访问者的登录名和密码。对任何简单的密码进行散列处理仅需2-4秒即可将其破解。 Bayne发现的是,可以通过特制的.theme文件执行攻击并更改桌面墙纸设置。这些用作远程身份验证所需的资源。 Windows尝试访问此远程身份验证所需的资源时,它将通过发送已登录帐户的NTLM哈希和登录名来自动尝试登录到共享。然后,攻击者可以获取这些凭据并使用特殊脚本对密码进行哈希处理。 Bayne建议为您保护恶意主题文件的方法是,将.theme,.themepack和.desktopthemepackfile扩展名阻止或重新关联到另一个程序。但是,如果不需要切换到另一个主题,则应使用它,因为这样做会破坏Windows 10主题功能。 为了防止任何NTLM凭据发送到远程主机,请配置名为“网络安全性:限制NTLM:将NTLM传出到远程服务器的流量”的组策略,并将其设置为“全部拒绝”。请注意,此配置可能会在使用远程共享的企业环境中带来问题。

勒索软件攻击阻止阿根廷边境口岸四小时

阿根廷官方移民机构"国家移民协会"发生一起网络步行者勒索软件袭击事件,该机构暂时停止了出入境的边境。虽然文件加密病毒的攻击在城市和当地机构中很常见,但这可能是对一个集中机构的攻击,它扰乱了一个国家的运营。 根据阿根廷网络犯罪机构Ciberdelincuencia公布的刑事起诉书,政府于8月27日7时左右接到检查站的技术支持电话后,对致命的加密病毒攻击事件十分了解。 "在上文段落所述的上午7时,本组织信息系统和技术总局下的技术与通信局接到来自各检查站要求提供技术支持的无数电话。 "这意识到这不是一个普通的情况,因此它评估了中央数据中心和分布式服务器的基础结构的情况,注意到一种病毒的活动,该病毒影响了基于 MS Windows 的系统文件(主要是 ADAD SYSVOL 和 SYSTEM CENTER DPM)和 Microsoft Office 文件(Word、Excel 等)在用户的工作和共享文件夹中存在,"投诉的翻译说。 为了防止病毒感染更多的设备,移民办公室和控制站使用的计算机网络被关闭。据阿根廷新闻网站Infobae报道,这导致边境过境点暂时暂停4小时,而服务器则重新上线。 当 Netwalker...