#安全简讯# 虚假微软网站声称提供Windows 11以传播恶意软件
https://t.cn/A6i1k5DU
据研究人员称,一个声称提供最新发布的Windows 11操作系统官方版本的虚假微软网站被发现在传播恶意软件。惠普威胁研究团队披露了一个新的骗局,攻击者复制了真正的Windows 11网站的设计,以分发Redline恶意软件。该虚假网站于2022年1月27日被发现,就在Windows 11宣布最后阶段升级的一天后。一个攻击者注册了windows-upgradedcom域名,并通过引诱访问者下载安装一个假安装程序来传播恶意软件。
https://t.cn/A6i1k5DU
据研究人员称,一个声称提供最新发布的Windows 11操作系统官方版本的虚假微软网站被发现在传播恶意软件。惠普威胁研究团队披露了一个新的骗局,攻击者复制了真正的Windows 11网站的设计,以分发Redline恶意软件。该虚假网站于2022年1月27日被发现,就在Windows 11宣布最后阶段升级的一天后。一个攻击者注册了windows-upgradedcom域名,并通过引诱访问者下载安装一个假安装程序来传播恶意软件。
https://t.cn/A6i34LBW
Windows Print Spooler是打印后台处理服务,即管理所有本地和网络打印队列及控制所有打印工作。Windows Print Spooler 存在权限提升漏洞,经过身份认证的攻击者可利用此漏洞使 Spooler 服务加载恶意 DLL,从而获取权限提升。
利用此漏洞需身份认证,攻击者可通过多种方式获得身份认证信息。在域环境中合适的条件下,未经身份验证的远程攻击者可利用该漏洞以SYSTEM权限在域控制器上执行任意代码,从而获得整个域的控制权。
尽管微软将 PrintNightmare 分配给了 CVE-2021-34527,笔者仍然认为它是 CVE-2021-1675 带来的远程代码执行相关的利用。首先进行补丁对比,比较明显的是 RpcAddPrinterDriverEx 函数,在调用 YAddPrinterDriverEx 函数前会进行判断,如果满足一定条件就对 dwFileCopyFlags 进行 &FFFF7FFF 处理,这样操作是为了取消 dwFileCopyFlags 中指定的 0x8000。
Windows Print Spooler是打印后台处理服务,即管理所有本地和网络打印队列及控制所有打印工作。Windows Print Spooler 存在权限提升漏洞,经过身份认证的攻击者可利用此漏洞使 Spooler 服务加载恶意 DLL,从而获取权限提升。
利用此漏洞需身份认证,攻击者可通过多种方式获得身份认证信息。在域环境中合适的条件下,未经身份验证的远程攻击者可利用该漏洞以SYSTEM权限在域控制器上执行任意代码,从而获得整个域的控制权。
尽管微软将 PrintNightmare 分配给了 CVE-2021-34527,笔者仍然认为它是 CVE-2021-1675 带来的远程代码执行相关的利用。首先进行补丁对比,比较明显的是 RpcAddPrinterDriverEx 函数,在调用 YAddPrinterDriverEx 函数前会进行判断,如果满足一定条件就对 dwFileCopyFlags 进行 &FFFF7FFF 处理,这样操作是为了取消 dwFileCopyFlags 中指定的 0x8000。
【Build Finance遭遇治理攻击,攻击者恶意铸造110万枚BUILD并抛售】
欧科链讯消息,2月15日,风投 DAO 组织 Build Finance 发推称,该项目遭遇恶意治理攻击,攻击者通过获得足够多的投票成功了控制 Build Finance 的 Token 合约,进而铸造了 110 万 枚 BUILD 并耗尽了 Balancer 和 Uniswap 流动性池中的大部分资金,还将 DAO 金库中的 13 万枚 METRIC 全部抛售。 Build Finance 表示,目前攻击者可以完全控制治理合约、铸造密钥和国库。DAO 不再拥有关键基础设施任何部分的控制权,提醒投资者不要在任何平台上购买 BUILD。
欧科链讯消息,2月15日,风投 DAO 组织 Build Finance 发推称,该项目遭遇恶意治理攻击,攻击者通过获得足够多的投票成功了控制 Build Finance 的 Token 合约,进而铸造了 110 万 枚 BUILD 并耗尽了 Balancer 和 Uniswap 流动性池中的大部分资金,还将 DAO 金库中的 13 万枚 METRIC 全部抛售。 Build Finance 表示,目前攻击者可以完全控制治理合约、铸造密钥和国库。DAO 不再拥有关键基础设施任何部分的控制权,提醒投资者不要在任何平台上购买 BUILD。
✋热门推荐