比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > XMR > Info

元宇宙:微軟高危零日漏洞 可執行任意代碼 捂好你的加密錢包

Author:

Time:1900/1/1 0:00:00

近日,微軟Office中一個被稱為 "Follina "的零日漏洞(編號CVE-2022-30190)被發現。攻擊者可使用微軟的微軟支持診斷工具(MSDT),從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。

微軟在其公告中寫道:" 當從 Word 等調用應用程序使用 URL 協議調用 MSDT 時,存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以使用調用應用程序的權限運行任意代碼。然后攻擊者可以安裝程序、查看、更改或刪除數據,或者在用戶權限允許的上下文中創建新帳戶 "。

微軟更新其政策條款,未經批準不得進行在線加密貨幣開采:金色財經報道,微軟更新了其政策條款,明確規定未經事先批準,不得在其在線服務上進行加密貨幣開采。該更新于 12 月 1 日生效,適用于所有用戶,包括微軟的付費客戶。[2022/12/15 21:47:36]

由于該漏洞允許攻擊者繞過密碼保護,從而遠程安裝文件,或者查看、更改及刪除數據,因此也被戲稱為“零點擊遠程代碼執行技術”。總的來說,攻擊者可以在運行用戶權限允許的范圍內,通過發送一個微軟Word文件,在你打開文件或在 "預覽 "中查看文件的瞬間執行惡意代碼,并在目標系統上遠程執行惡意代碼。

微軟CEO納德拉:對元宇宙十分感興趣,將把握新的發展機遇:11月19日消息,微軟CEO薩提亞·納德拉(Satya Nadella)在“2021紅杉數字科技全球領袖峰會”上表示,對元宇宙十分感興趣,將繼續沿用全棧思維把握像元宇宙這樣的新發展機遇。

納德拉表示,元宇宙跨越了物理和數字世界將人、物、場在商業和消費互聯網中融于一處,不該被看做是單獨的消費市場或企業級市場的現象,因為融合可能才是必需的。且在某種意義上看,疫情中的視頻會議的普及已經讓我們多少體驗到了一個2D的元宇宙。超越時空的3D元宇宙無疑是一個重要的發展方向。[2021/11/19 22:04:19]

通過這種方式,黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊,提升黑客在受害者系統里的權限,并獲得對本地系統和運行進程的額外訪問,包括目標用戶的互聯網瀏覽器和瀏覽器插件,如Metamask - 一個用于存儲加密資金的軟件錢包。

聲音 | 微軟研究院前主管研究員:區塊鏈在規模化應用之前幾乎不可能有實際盈利:金色財經報道,微軟研究院前主管研究員王嘉平表示,現如今,任何技術的采用,在沒有達到一定規模之前,基本上都是連研發成本都難以收回的,所以區塊鏈技術也是一樣,在規模化應用之前,幾乎不可能有實際的盈利。[2019/10/31]

這樣的漏洞表明了用戶使用硬件錢包(如Ledger、Trezor等)離線存儲私鑰的重要性,因為它可將私鑰與被攻擊的系統分開。忽視使用硬件錢包,是零日漏洞導致加密貨幣資金被盜的主要原因之一。

這種類型的漏洞在Web3世界中可以說是非常“流行”,每個月可導致數百萬美元的損失。類似的攻擊已經影響到Web3社區,而這個漏洞比 "0-click "(零點擊攻擊)漏洞更嚴重。例如,發生在2022年3月22日的Arthur_0x黑客攻擊,導致超過160萬美元的NFT和加密貨幣損失。它使用了有針對性的網絡釣魚攻擊技術,通過電子郵件發送了看起來像谷歌文檔的鏈接(但實際上是微軟Word文件),將惡意代碼注入受害者的系統。另一個使用了有針對性的網絡釣魚攻擊的例子發生在2022年2月19日,當交易者打開他們認為是OpenSea官方的關于遷移的電子郵件時,價值170萬美元的ETH被盜走,導致惡意軟件通過隱藏在偽裝鏈接中的惡意合同被放入他們的錢包。

網絡釣魚攻擊是攻擊者可獲得高價值,且操作相對簡單的一種攻擊方法。隨著Web3用戶能夠即時直接地進行資產交易,網絡釣魚活動也隨之增加。特別是Telegram和Discord相關的攻擊,惡意鏈接每天都會出現在流行的服務器上。而隨著Web3的發展,這些類型的攻擊將繼續增長,因為它成本低且有效性強,攻擊者能夠適應各種防御手段,以繼續進行攻擊。

如果你目前正在使用微軟的Office,CertiK安全團隊建議按照以下鏈接的步驟,正確保護你的設備和個人信息。(來源微軟支持診斷工具漏洞的指導意見Guidance for Microsoft Support Diagnostic Tool Vulnerability)?

可以防止攻擊的一些方法步驟:

遵循最小權限原則,只給Windows用戶分配完成其職責所需的權限。反過來,這也限制了攻擊者在系統被破壞時繼承的權限。?

在使用微軟衛士的ASR時,在阻止模式下激活 "阻止所有Office應用程序創建子進程 "規則。

在審計模式下運行該規則,并監測結果,以確保對最終用戶沒有不利影響。

刪除有關ms-msdt的文件類型,防止惡意軟件運行。

來源:CertiK中文社區

Tags:元宇宙MSDWEBOFF元宇宙最火的平臺MSD價格web3游戲有哪些Offshift anonUSD

XMR
ARKN:結緣《雪崩》探索元宇宙產業發展

結緣《雪崩》 頭腦風暴 最近很多人都會提起尼爾·斯蒂芬森,大家都知道尼爾在30年前寫《雪崩》一書時,創造了Metaverse元宇宙一詞。和眾多人一樣,我也是從讀《雪崩》開始認識尼爾的.

1900/1/1 0:00:00
數字資產:美國最新加密貨幣法案重點:分類監管 鼓勵比特幣支付

《負責任的金融創新法案》(Responsible Financial Innovation Act),也稱為 Lummis-Gillibrand 法案.

1900/1/1 0:00:00
OIN:隨著華爾街熱情冷卻 Coinbase為其招聘計劃「踩下剎車」

Coinbase 凍結招聘并取消錄用通知的舉措在加密貨幣行業引發了沖擊波。此時也正值華爾街分析師對該公司信心普遍下降之際.

1900/1/1 0:00:00
WIKI:一文梳理 DAO 計算治理流程

這是一個參與式決策的框架對于由系列算法構成的DAO而言,計算治理是不可忽略的一個趨勢。因此,DAOrayaki社區對DAO計算治理流程進行梳理.

1900/1/1 0:00:00
NFT:TULE NFT:在此開啟你的NFT之旅

生活在元宇宙中的一群小熊原本過著平靜的生活,但是一次又一次,爆發的大規模槍擊事件打破了原有的平靜,這些愛好和平的小熊面對如此境況感到心碎.

1900/1/1 0:00:00
HTC:HTC的元宇宙布局

HTC,許多人對其印象為曾經的安卓系統首選智能手機。然而隨著智能手機產業的逐漸成熟化,HTC品牌逐漸退出了智能手機產業的舞臺。近期元宇宙的風潮正勁,許多大公司都積極布局了元宇宙相關的業務.

1900/1/1 0:00:00
ads