買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > BTC > Info

區塊鏈:微軟高危零日漏洞 可執行任意代碼 捂好你的加密錢包_區塊鏈MOVEZ幣

Author:

Time:1900/1/1 0:00:00

近日,微軟Office中一個被稱為 "Follina "的零日漏洞(編號CVE-2022-30190)被發現。攻擊者可使用微軟的微軟支持診斷工具(MSDT),從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。

微軟在其公告中寫道:" 當從 Word 等調用應用程序使用 URL 協議調用 MSDT 時,存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以使用調用應用程序的權限運行任意代碼。然后攻擊者可以安裝程序、查看、更改或刪除數據,或者在用戶權限允許的上下文中創建新帳戶 "。

美國聯邦貿易委員會針對微軟收購動視暴雪發起訴訟,擬阻止其進軍元宇宙市場:12月9日消息,美國聯邦貿易委員會本周四對微軟發起訴訟,禁止其收購《使命召喚》和《守望先鋒》系列游戲開發商動視暴雪,美國聯邦貿易委員會認為如果收購成功將使微軟在游戲行業中獲得相對于其競爭對手的不公平優勢并造成壟斷。該訴訟如果成功,將會阻止微軟進入處于萌芽階段的元宇宙市場,該公司最近和Meta、索尼等公司組建了“開放元宇宙”聯盟。(decrypt)[2022/12/9 21:32:57]

由于該漏洞允許攻擊者繞過密碼保護,從而遠程安裝文件,或者查看、更改及刪除數據,因此也被戲稱為“零點擊遠程代碼執行技術”。總的來說,攻擊者可以在運行用戶權限允許的范圍內,通過發送一個微軟Word文件,在你打開文件或在 "預覽 "中查看文件的瞬間執行惡意代碼,并在目標系統上遠程執行惡意代碼。

聲音 | 微軟中國CTO黎江:區塊鏈應用落地是未來趨勢:今日,微軟中國CTO、調研鏈Insight Chain顧問黎江表示,看好Insight Chain以“調研即挖礦”為切入點,實現調研數據上鏈、調研數據價值回歸個人以及調研大數據。他表示,區塊鏈應用落地是未來趨勢,千萬級用戶的應用鏈才能夠推動區塊鏈技術的發展。從現有的商業模型來看,調研是區塊鏈的剛需應用場景之一,傳統調研過程中存在的數據造假、效率低、成本高等問題亟需區塊鏈技術來解決。[2018/8/6]

通過這種方式,黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊,提升黑客在受害者系統里的權限,并獲得對本地系統和運行進程的額外訪問,包括目標用戶的互聯網瀏覽器和瀏覽器插件,如Metamask - 一個用于存儲加密資金的軟件錢包。

微軟中國CTO黎江:區塊鏈公鏈技術還有待突破:日前,公有鏈技術評估專家研討會在北京召開,討論全球公有鏈技術評估工作。微軟中國CTO黎江表示區塊鏈應用正如火如荼,但區塊鏈公鏈技術還有待突破,需要產業界相互協作、適配和協調來解決發展中的問題。[2018/5/14]

這樣的漏洞表明了用戶使用硬件錢包(如Ledger、Trezor等)離線存儲私鑰的重要性,因為它可將私鑰與被攻擊的系統分開。忽視使用硬件錢包,是零日漏洞導致加密貨幣資金被盜的主要原因之一。

這種類型的漏洞在Web3世界中可以說是非常“流行”,每個月可導致數百萬美元的損失。類似的攻擊已經影響到Web3社區,而這個漏洞比 "0-click "(零點擊攻擊)漏洞更嚴重。例如,發生在2022年3月22日的Arthur_0x黑客攻擊,導致超過160萬美元的NFT和加密貨幣損失。它使用了有針對性的網絡釣魚攻擊技術,通過電子郵件發送了看起來像谷歌文檔的鏈接(但實際上是微軟Word文件),將惡意代碼注入受害者的系統。另一個使用了有針對性的網絡釣魚攻擊的例子發生在2022年2月19日,當交易者打開他們認為是OpenSea官方的關于遷移的電子郵件時,價值170萬美元的ETH被盜走,導致惡意軟件通過隱藏在偽裝鏈接中的惡意合同被放入他們的錢包。

網絡釣魚攻擊是攻擊者可獲得高價值,且操作相對簡單的一種攻擊方法。隨著Web3用戶能夠即時直接地進行資產交易,網絡釣魚活動也隨之增加。特別是Telegram和Discord相關的攻擊,惡意鏈接每天都會出現在流行的服務器上。而隨著Web3的發展,這些類型的攻擊將繼續增長,因為它成本低且有效性強,攻擊者能夠適應各種防御手段,以繼續進行攻擊。

如果你目前正在使用微軟的Office,CertiK安全團隊建議按照以下鏈接的步驟,正確保護你的設備和個人信息。(來源微軟支持診斷工具漏洞的指導意見Guidance for Microsoft Support Diagnostic Tool Vulnerability)?

可以防止攻擊的一些方法步驟:

遵循最小權限原則,只給Windows用戶分配完成其職責所需的權限。反過來,這也限制了攻擊者在系統被破壞時繼承的權限。?

在使用微軟衛士的ASR時,在阻止模式下激活 "阻止所有Office應用程序創建子進程 "規則。

在審計模式下運行該規則,并監測結果,以確保對最終用戶沒有不利影響。

刪除有關ms-msdt的文件類型,防止惡意軟件運行。

來源:CertiK中文社區

Tags:區塊鏈OFFMSDICE區塊鏈MOVEZ幣BitcoffeenMSDliutonglSolice

BTC
CEB:馬斯克的“元宇宙”夢_元宇宙概念是什么意思Facebook

單純地用資本市場的眼光來看待馬斯克收購推特這件事,它只不過是一樁稀松平常的買賣案例。馬斯克原本已經是推特的股東自不必說,推特本身面臨的困境和難題,同樣讓越來越多的人感受到它需要一個「蓋世英雄」來.

1900/1/1 0:00:00
以太坊:淺談以太坊虛擬機的網絡效應:其他L1將面臨什么樣的挑戰?_NBS幣

實際上,大家所熟知的以太坊只是以太坊區塊鏈的一種實現。在硬幣的另一面,以太坊虛擬機可以理解為基于區塊鏈的開源軟件「開發平臺」,允許開發人員創建去中心化應用程序.

1900/1/1 0:00:00
區塊鏈:王瑞杰:加密資產有潛力改變金融業未來 金管局探討資產代幣化經濟價值_OLA

副總理王瑞杰說,加密資產領域正持續轉變,“我們意識到這是一個高風險領域,但具備改變金融業未來的潛力。我們必須繼續調整條例,以確保監管方式仍有利于創新,同時也能應對加密資產帶來的主要風險.

1900/1/1 0:00:00
WEB3:Web 3 能否撕裂國內 VC 的共識?從朱嘯虎買了一雙“鞋”談起_web3.0幣現價多少錢

事情是這樣的:朱嘯虎買了一雙鞋,跑了一次步,發了一條朋友圈;照常理來說,買鞋不新鮮,發朋友圈沒什么,跑步也不稀奇。但稀奇的是,他瞄準的是當下最火的Web3.0游戲StepN.

1900/1/1 0:00:00
VERS:元宇宙買房是怎么一回事?_元宇宙

當前,元宇宙是一個蓬勃發展的行業,藝術家、音樂家和來自不同行業的公司都希望趕上這一浪潮。可是在元宇宙步入大眾視野之前,誰又會想到未來會有許多投資巨頭、時尚品牌、科技公司和普通用戶都使用數字資產購.

1900/1/1 0:00:00
穩定幣:金色早報 | 華納兄弟將于6月底推出基于卡通人物的NFT系列_加密貨幣市場分析

▌華納兄弟將于6月底推出基于卡通人物的NFT系列6月3日消息,華納兄弟(Warner Bros.)宣布已與NFT社交媒體平臺Nifty''s合作.

1900/1/1 0:00:00
ads