近日,微軟Office中一個被稱為"Follina"的零日漏洞被發現。攻擊者可使用微軟的微軟支持診斷工具,從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。
微軟在其公告中寫道:"當從Word等調用應用程序使用URL協議調用MSDT時,存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以使用調用應用程序的權限運行任意代碼。然后攻擊者可以安裝程序、查看、更改或刪除數據,或者在用戶權限允許的上下文中創建新帳戶"。
動態 | 微軟云計算平臺Azure集成區塊鏈安全審計公司OpenZeppelin合約:區塊鏈安全審計公司OpenZeppelin宣布,微軟云計算平臺Azure已集成OpenZeppelin合約。OpenZeppelin Audited Smart Contract 庫將作為 Microsoft Azure 區塊鏈開發套件 VSCode 插件的一部分供開發者使用。[2019/10/23]
由于該漏洞允許攻擊者繞過密碼保護,從而遠程安裝文件,或者查看、更改及刪除數據,因此也被戲稱為“零點擊遠程代碼執行技術”。總的來說,攻擊者可以在運行用戶權限允許的范圍內,通過發送一個微軟Word文件,在你打開文件或在"預覽"中查看文件的瞬間執行惡意代碼,并在目標系統上遠程執行惡意代碼。
動態 | 65%的美國企業更青睞IBM Blockchain而不是微軟:據cryptodaily消息,在企業區塊鏈解決方案方面,IBM最受企業美國人的信任,而在比較其他產品時,它甚至都不是很接近。據Juniper Research于2018年9月的調查顯示,65%的受訪者會選擇IBM Blockchain來部署分布式賬本技術(DLT)和類似的解決方案。亞軍微軟僅獲得7%的選票,名單上的其他公司還包括埃森哲,德勤和甲骨文。同樣的調查發現,如果公司要部署分散式應用程序(Dapp)和相關解決方案,那么美國公司絕大多數都更喜歡以太坊網絡,該平臺獲得近50%的選票。[2018/9/18]
通過這種方式,黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊,提升黑客在受害者系統里的權限,并獲得對本地系統和運行進程的額外訪問,包括目標用戶的互聯網瀏覽器和瀏覽器插件,如Metamask-一個用于存儲加密資金的軟件錢包。
聲音 | 微軟洪小文:區塊鏈跟AI基本上沒關系 很多數據不怕改:在2018世界科技創新論壇上,微軟全球資深副總裁、微軟亞太研發集團主席洪小文表示:“區塊鏈技術還處于早期,最后會如何發展無人知道。區塊鏈跟AI基本上沒關系,大部分區塊鏈是系統技術。”洪小文還說:“很多數據不怕改,也不會有人改,倘若被改還可以申訴。比如你的銀行存款被人改了,事實上是有機制保護你的。”[2018/8/12]
這樣的漏洞表明了用戶使用硬件錢包離線存儲私鑰的重要性,因為它可將私鑰與被攻擊的系統分開。忽視使用硬件錢包,是零日漏洞導致加密貨幣資金被盜的主要原因之一。
這種類型的漏洞在Web3世界中可以說是非常“流行”,每個月可導致數百萬美元的損失。類似的攻擊已經影響到Web3社區,而這個漏洞比"0-click"漏洞更嚴重。例如,發生在2022年3月22日的Arthur_0x黑客攻擊,導致超過160萬美元的NFT和加密貨幣損失。它使用了有針對性的網絡釣魚攻擊技術,通過電子郵件發送了看起來像谷歌文檔的鏈接,將惡意代碼注入受害者的系統。另一個使用了有針對性的網絡釣魚攻擊的例子發生在2022年2月19日,當交易者打開他們認為是OpenSea官方的關于遷移的電子郵件時,價值170萬美元的ETH被盜走,導致惡意軟件通過隱藏在偽裝鏈接中的惡意合同被放入他們的錢包。
網絡釣魚攻擊是攻擊者可獲得高價值,且操作相對簡單的一種攻擊方法。隨著Web3用戶能夠即時直接地進行資產交易,網絡釣魚活動也隨之增加。特別是Telegram和Discord相關的攻擊,惡意鏈接每天都會出現在流行的服務器上。而隨著Web3的發展,這些類型的攻擊將繼續增長,因為它成本低且有效性強,攻擊者能夠適應各種防御手段,以繼續進行攻擊。
如果你目前正在使用微軟的Office,CertiK安全團隊建議按照以下鏈接的步驟,正確保護你的設備和個人信息。?
可以防止攻擊的一些方法步驟:
遵循最小權限原則,只給Windows用戶分配完成其職責所需的權限。反過來,這也限制了攻擊者在系統被破壞時繼承的權限。?
在使用微軟衛士的ASR時,在阻止模式下激活"阻止所有Office應用程序創建子進程"規則。
在審計模式下運行該規則,并監測結果,以確保對最終用戶沒有不利影響。
刪除有關ms-msdt的文件類型,防止惡意軟件運行。
如果你要繼續堅持,那么游戲規則已經改變。原文標題:《熊市來了,辭職allincrypto的我錯了嗎?》去年10月,我辭職了。當時,比特幣價格是6萬美元,標普接近新高。好家伙,今天又是另一番局面.
1900/1/1 0:00:00擴展現實、數字孿生、區塊鏈、人工智能……科技一直在從各個維度重塑世界。2021年,隨著“元宇宙”元年的到來,數字藝術藏品時代大門悄然開啟,時代向未來數字世界呼嘯而去.
1900/1/1 0:00:00金色晚報 | 12月6日晚間重要動態一覽:12:00-21:00關鍵詞:紅杉資本、美國SEC、富時羅素、DeFi 1.紅杉資本印度等VC尋求投資5000萬至1.5億美元支持Polygon; 2.
1900/1/1 0:00:00DeFi數據 1.DeFi代幣總市值:511.7億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量:49.
1900/1/1 0:00:001.DeFi代幣總市值:484.65億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量:40.
1900/1/1 0:00:001.DeFi代幣總市值:497.28億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量:43.
1900/1/1 0:00:00