黑客急于利用微软的零日漏洞

最新推荐文章于 2023-10-23 17:57:56 发布
最新推荐文章于 2023-10-23 17:57:56 发布
阅读量9.1k 收藏 3
点赞数 4
分类专栏: 网络研究观 文章标签: microsoft 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29607687/article/details/125201102
版权

Windows 支持工具中的“Follina”漏洞正在 Microsoft Word 中被积极利用,使恶意黑客可以完全访问受感染的系统。

专家表示,现在是修复这个关键漏洞的时候了,因为有证据表明它已被老练的威胁行为者使用了数周。

美国网络防御者在阵亡将士纪念日周末遇到了一个不受欢迎的惊喜,当时nao_sec的安全团队标记了一个带有一些令人讨厌的技巧的恶意 Word 文档。

攻击者正在利用微软支持诊断工具 (MSDT) 中一个以前未知的漏洞,将零日漏洞与一些不幸的 Word 配置配对,以触发目标系统上的远程代码执行。安全研究员Kevin Beaumont 在一篇博客文章中将零日漏洞称为“Follina”,详细介绍了其在多个 Microsoft 产品中的令人印象深刻的功能。

“从历史上看,当有直接从 Office 执行代码的简单方法时,人们就会用它来做坏事,”他指出。

事实上,在博蒙特周日分享他的发现后不久,网络安全公司 Proofpoint 的研究人员表示,网络间谍组织正在滥用 Follina(正式跟踪为CVE-2022-30190)。虽然微软迅速提供了防止该漏洞被利用的指导,但 Follina 紧随另一个备受瞩目的 Windows 漏洞之后,该漏洞在修复之前也被发现“在野外”。背靠背的威胁表明,组织要跟上越来越具有创造性和规避性的攻击媒介是多么困难。

Scythe 网络威胁情报执行总监杰克威廉姆斯在昨天由 SANS 研究所安全非营利组织主办的网络研讨会上说:“这是拉响火警警报并加强防御的好时机。”

“我们知道,至少自 4 月中旬以来,这一直在野外被积极利用。完全有可能比那更早,”他说。“今天部署缓解措施。犯罪分子将立即使用 [Follina]。他们将立即将其武器化。这只是一个现实。”

在征求意见后,微软发言人将 README 指向了该公司的公开指南,该指南指出,使用受保护的视图可以阻止恶意 Word 文档触发 Follina,以及其他解决方法。但正如威廉姆斯打趣的那样,“无论如何,谁使用受保护的视图?” Beaumont 观察到,攻击者可以通过将恶意文档更改为 RTF 形式来绕过受保护的视图。

安全研究员 Kevin Beaumont 在他臭名昭著的 Log4Shell 标志的传统中掀起了一个“官方 Follina 漏洞标志” 。

另一个绊脚石是用户无需启用宏(Office 产品的一种众所周知的攻击路径)即可利用该漏洞。但是使用命令提示符禁用有问题的 MSDT 功能会阻止攻击者使用 Follina,直到 Microsoft 可以推出更永久的修复程序。

“当从 Word 等调用应用程序使用 URL 协议调用 MSDT 时,存在远程代码执行漏洞,”微软在其关于 Microsoft 安全响应中心的指南中解释道。“成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。”

与此同时,网络安全专家警告说,Follina 很可能会进入网络犯罪分子和国家武器库。

它已经出现针对印度和俄罗斯的组织,这些组织围绕俄罗斯和乌克兰而制作了恶意文件。

5 月 30 日,Proofpoint  研究人员发现了这种网络钓鱼诱饵:

正如网络安全公司SentinelOne的研究人员昨天在一篇博客文章中指出的那样,另一个威胁参与者于 5 月 19 日开始构建基础设施以发动 Follina 攻击。

SentinelOne 写道:“与我们在 Log4j 中观察到的情况类似,此漏洞的执行方法和结果会随着它获得更多研究人员和攻击者的关注而继续发展。”

换句话说:像 Log4j 一样,Follina 可能会有持续和巨大的影响。

当前的解决方法

虽然目前还没有针对该漏洞的补丁,但微软建议受影响的用户暂时禁用 MSDT URL 以缓解它。这“防止故障排除程序作为链接启动,包括整个操作系统的链接,”该公司在他们的咨询中写道。

为此,用户必须遵循以下步骤:运行“:以管理员身份命令提示符”;通过执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt filename ”备份注册表项;并执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。

该公司表示:“仍然可以使用Get Help 应用程序和系统设置中的其他或附加故障排除程序来访问故障排除程序。”

此外,如果调用应用程序是 Office 应用程序,则默认情况下,Office 在受保护的视图和 Office 应用程序防护中从 Internet 打开文档,“这两者都可以防止当前的攻击,”微软表示。然而,博蒙特在他对漏洞的分析中驳斥了这种保证。

该公告称,微软还计划用更多信息更新 CVE-2022-3019,但没有具体说明何时更新。

黑客如何选择受害者

建立网络部队比你想象的更难

黑客急于利用微软的零日漏洞

美国勒索软件工作组 (RTF)介绍

美国向乌克兰运送的“HIMARS”

2022年最值得关注的Linux恶意软件

2022年必须知道的 89 个数据泄露统计

最厉害的网络犯罪收入超过商业公司领导

美国互联网为什么要开放接入光纤来改善

“我们不会追踪你……除非我们得到报酬。”

俄罗斯军队正在证明在战区使用手机是一个非常愚蠢的行为

自律的前期是兴奋,中期是痛苦,后期是享受,

当你开始享受自律的时候,你会发现生活少了失意和迷茫。

网络研究观
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络安全零日漏洞(0day)是什么?如何防范零日攻击?
par@ish的博客
12-08 3293
零日攻击是利用零日漏洞(0day)对系统或软件应用发动的网络攻击,近年来,零日攻击威胁在日益增长且难以防范,零日攻击已成为企业网络信息安全面临的最严峻的威胁之一。
未知的漏洞才是最可怕的存在之漏洞零日
dzqxwzoe的博客
03-12 294
首先先通过对 HTTP 中间人攻击的来了解到 HTTP 为什么是不安全的,然后再从安全攻防的技术演变一直到 HTTPS 的原理概括,希望能让大家对 HTTPS 有个更深刻的了解。网络安全入门学习路线其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。1.网络安全法和了解电脑基础其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...
什么是0day漏洞,1day漏洞和nday漏洞
weixin_40191861的博客
04-04 1939
今年5月,微软紧急公开了已经被用于野外攻击的 Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞,该漏洞的PoC和Exp均在互联网公开,用户只需要打开带有恶意链接的Office文档时,则会触发该漏洞,成功利用漏洞的攻击者即可在目标机上执行任意代码。通常0-day漏洞被公开后,都会引起广泛关注,相关厂商也需要紧急评估并尽快推出补丁,因为利用0-day漏洞进行的。作为普通用户,我们需要意识到的就是:漏洞可能造成的影响不仅仅局限于网络层面,而是与现实生活紧密相关,其危害不容忽视。
一分钟带你了解什么是0day攻击什么是Nday攻击
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
10-23 1073
在十几年前,零日漏洞是比较少见的。在百万级恶意软件中,可能只有零星几个是零日漏洞相关的恶意软件。那时的零日攻击往往很轻易即可实现诸如远程入侵或取得控制权这样的结果。然而,随着网络安全技术的不断发展,现今单纯依靠一个零日漏洞就想突破防御,几乎是不太可能的,更不要提获得控制权。事实上,当前发动一次APT攻击就要集合数个甚至数十个零日漏洞,以复合攻击方式突破被攻击者的防御。所以,含金量高的零日漏洞卖出天价也是屡见不鲜,这也是催生零日市场的重要原因之一。
什么是0day攻击?什么是Nday漏洞
logic1001的博客
10-12 778
0day和Nday漏洞的区别是什么?
微软漏洞赏金计划
08-01
微软2014年发布了微软漏洞赏金计划,该计划主要是给白帽子黑客提交漏洞使用,文档内有漏洞的提交要求,以及微软官方的联系方式
黑客利用漏洞编译的软件
03-08
黑客软件 黑客利用漏洞写的软件 放心使用 腾讯是不能太赚钱了 你们说是不是
黑客Structs2漏洞利用工具超好用
07-18
黑客Structs2漏洞利用工具超好用,可以直接提交命令
php cgi漏洞利用工具 源代码
01-22
cgi mod(cve-2012-1823)最新漏洞,可以批量扫描多网段漏洞,多加利用,可以获取服务器控制权限。
阿里云ak/sk漏洞利用工具
06-27
方便可执行系统命令
零日漏洞:震网病毒全揭秘
02-13
零日漏洞:震网病毒全揭秘零日漏洞:震网病毒全揭秘
零日漏洞是什么意思?有什么危害?
oldboyedu1的博客
05-12 630
零日漏洞存在于系统或软件应用程序中,只要是该系统或该软件应用程序上的用户都将成为大攻击的目标,因此零日攻击的范围通常相对较大。①实时更新补丁和修复漏洞:实时更新系统软件,及时更新漏洞补丁,尽量缩短系统和应用软件中零日漏洞的存在时间,定期扫描和修复系统漏洞,降低系统攻击风险;虽然零日漏洞攻击在目前不能完全预防,但科学完善的防御体系可以有效降低零日攻击的概率和零日攻击造成的损失。但对于作为攻击渠道的零日漏洞而言,由于存在补丁空白期,在这个时间段内,很难从根本上有效地预防零日攻击。零日漏洞该如何防范?
零日漏洞和N日漏洞是什么?
yeshifu1024的博客
10-12 694
网络安全最常见的漏洞
web渗透测试----30、0day漏洞
七天
07-28 3818
什么是0day 0day又称“零日漏洞”(zero-day)。0day的含义为破解,最早的破解是专门针对软件的,叫做WAREZ。 0表示zero,早期的0day表示软件在发行的24小时之内就出现破解版本。现在一般指的是没有公开,没有补丁的漏洞零日攻击或零时差攻击则是指利用这种0day漏洞进行的攻击。0day漏洞利用程序对网络安全具有巨大威胁,从特征角度看,0day攻击与传统的黑客攻击有极大的相似特征,其区别仅仅在于0day攻击的对象以及渠道,是潜在的未知的,或者是虽然已经公布但尚未来得及修复的系统漏洞
什么是0day漏洞
zxのdream
10-24 1万+
0day漏洞
安全基础:0-day漏洞
知行合一 止于至善
06-09 5508
这篇文章以阿里巴巴的FastJSon来介绍一下Zero-day(0-day)漏洞的基础常识。
NSA的Windows漏洞军火库泄漏:多个零日利用工具可直接使用
weixin_33753845的博客
09-19 502
本文讲的是NSA的Windows漏洞军火库泄漏:多个零日利用工具可直接使用,Shadow Brokers(影子经纪人),过去八个月里出尽风头、将NSA(美国国家安全局)以千兆计的网络攻击武器泄漏到互联网的黑客个体/团伙,刚刚又公布了NSA极其重要的数据。在周五(北京时间临近下班)时候放出的这批数据,包括针对大多数版本Windows系统的强力漏洞利用和黑...
什么是 0day 漏洞,1day 漏洞和 nday 漏洞
热门推荐
布袋和尚
02-13 1万+
零日漏洞”又叫零时差攻击,是指被发现后立即被恶意利用安全漏洞,通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现,这种攻击往往具有很大的突发性与破坏性。 本质上讲,上述三种“漏洞”指的不是真正的漏洞,而是对已知漏洞攻击时间选择的简称。 背景知识 漏洞从发现到解决有三个时间点: 漏洞被发现(T1) 漏洞信息公布(T2) 漏洞被修补(T3) ------------ T0------------ T1------------ T2------------ 漏洞的 0 / 1 ...
美国囤积零日漏洞的目的何在?
03-01 149
导读 美国政府确实设置有衡量漏洞该不该披露的一个过程,名为“漏洞权衡过程(VEP)”。美国联邦政府采用该过程确定每个零日计算机安全漏洞的“待遇”:是向公众披露以改善计算机安全环境,还是加以保密留作对付政府假想敌的杀手锏? 政府应不应该囤积零日漏洞?对这个问题的回答见仁见智。有人觉得将软件漏洞秘而不宣会影响所有用户,无论如何都应当披露漏洞。另一方面,零日漏洞在一...
零日漏洞和一日漏洞的区别
07-09
零日漏洞和一日漏洞是与计算机安全相关的术语。 零日漏洞(Zero-day vulnerability)是指已存在但尚未公开或被软件厂商修补的安全漏洞。这意味着攻击者可以利用漏洞进行攻击,而软件开发者还没有意识到漏洞的存在,因此尚未发布任何修补程序。攻击者利用零日漏洞可以对系统进行未经授权的访问、数据窃取或其他恶意活动。 一日漏洞(One-day vulnerability)是指已知但尚未得到修补的安全漏洞。与零日漏洞不同,一日漏洞已经被软件厂商或安全研究人员发现并报告,但尚未发布相关补丁程序。一日漏洞可能会被黑客或攻击者利用,因为系统管理员还没有应用安全更新。 重要的是要注意,无论是零日漏洞还是一日漏洞,都对系统安全构成威胁。及时更新软件和操作系统,并采取其他安全措施可以减少受到这些漏洞的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值