近日,微软Office中一个被称为 "Follina "的零日漏洞(编号CVE-2022-30190)被发现。攻击者可使用微软的微软支持诊断工具(MSDT),从远程URL检索并执行恶意代码。微软Office的系列套件和使用MSDT的产品目前仍有可能受该零日漏洞的影响。
微软在其公告中写道:" 当从 Word 等调用应用程序使用 URL 协议调用 MSDT 时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。然后攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户 "。
微软去中心化身份负责人将离职并加入Square:金色财经报道,微软 (MSFT) 去中心化身份负责人Daniel Buchner宣布,他将离开微软并加入Square (SQ),领导这家支付公司在使用区块链技术在线验证身份的新兴领域开展工作。[2021/11/9 6:39:47]
由于该漏洞允许攻击者绕过密码保护,从而远程安装文件,或者查看、更改及删除数据,因此也被戏称为“零点击远程代码执行技术”。总的来说,攻击者可以在运行用户权限允许的范围内,通过发送一个微软Word文件,在你打开文件或在 "预览 "中查看文件的瞬间执行恶意代码,并在目标系统上远程执行恶意代码。
加密货币总市值突破2.8万亿美元,超过微软和苹果:金色财经报道,据最新数据显示,目前加密货币总市值已突破2.8万亿美元,本文撰写时为2,855,724,225,981美元,24小时涨幅3.2%,超过微软公司市值(2.501万亿美元)和苹果公司市值(2.461万亿美元)。此前加密货币总市值在10月16日达到2.6万亿美元,10月21日达到2.7万亿美元,意味着在半个月内增长超过2000亿美元。[2021/11/3 6:28:31]
通过这种方式,黑客能够查看并获得受害者的系统和个人信息。这个零日漏洞允许黑客进一步攻击,提升黑客在受害者系统里的权限,并获得对本地系统和运行进程的额外访问,包括目标用户的互联网浏览器和浏览器插件,如Metamask - 一个用于存储加密资金的软件钱包。
动态 | 加密钱包Spend加入微软合作伙伴网络:据bitcoinexchangeguide报道,据加密钱包Spend的Medium博客消息,Spend已加入微软合作伙伴网络,将使用微软合作伙伴网络为加密货币和法定货币提供基于云的支付即服务(PaaS)解决方案。[2019/3/28]
这样的漏洞表明了用户使用硬件钱包(如Ledger、Trezor等)离线存储私钥的重要性,因为它可将私钥与被攻击的系统分开。忽视使用硬件钱包,是零日漏洞导致加密货币资金被盗的主要原因之一。
这种类型的漏洞在Web3世界中可以说是非常“流行”,每个月可导致数百万美元的损失。类似的攻击已经影响到Web3社区,而这个漏洞比 "0-click "(零点击攻击)漏洞更严重。例如,发生在2022年3月22日的Arthur_0x黑客攻击,导致超过160万美元的NFT和加密货币损失。它使用了有针对性的网络钓鱼攻击技术,通过电子邮件发送了看起来像谷歌文档的链接(但实际上是微软Word文件),将恶意代码注入受害者的系统。另一个使用了有针对性的网络钓鱼攻击的例子发生在2022年2月19日,当交易者打开他们认为是OpenSea官方的关于迁移的电子邮件时,价值170万美元的ETH被盗走,导致恶意软件通过隐藏在伪装链接中的恶意合同被放入他们的钱包。
网络钓鱼攻击是攻击者可获得高价值,且操作相对简单的一种攻击方法。随着Web3用户能够即时直接地进行资产交易,网络钓鱼活动也随之增加。特别是Telegram和Discord相关的攻击,恶意链接每天都会出现在流行的服务器上。而随着Web3的发展,这些类型的攻击将继续增长,因为它成本低且有效性强,攻击者能够适应各种防御手段,以继续进行攻击。
如果你目前正在使用微软的Office,CertiK安全团队建议按照以下链接的步骤,正确保护你的设备和个人信息。(来源微软支持诊断工具漏洞的指导意见Guidance for Microsoft Support Diagnostic Tool Vulnerability)?
可以防止攻击的一些方法步骤:
遵循最小权限原则,只给Windows用户分配完成其职责所需的权限。反过来,这也限制了攻击者在系统被破坏时继承的权限。?
在使用微软卫士的ASR时,在阻止模式下激活 "阻止所有Office应用程序创建子进程 "规则。
在审计模式下运行该规则,并监测结果,以确保对最终用户没有不利影响。
删除有关ms-msdt的文件类型,防止恶意软件运行。
来源:CertiK中文社区
去中心化自治组织——DAO,已经成为2022年在 Web3 上发生的最酷的事情。在人类的历史上,组织形态的范式转换(Paradgim Shift)的进化,往往意味着生产力的大幅度提升.
1900/1/1 0:00:00金色晨讯 | 9月3日隔夜重要动态一览:21:00-7:00关键词:美国、Deribit、SushiSwap、火币 1. 美国参议院银行委员会主席询问OCC计划制定的加密规则; 2.
1900/1/1 0:00:00自上周五美国公布的5月CPI数据超出预期以来,全球投资者因担心通胀将持续更长时间而抛售风险资产。比特币首当其冲,急转直下.
1900/1/1 0:00:00头条 ▌美联储:稳定币、央行数字货币既存在风险,也存在机遇6月1日消息,美联储威廉姆斯表示,数字货币蓬勃发展。这包括没有得到其他资产完全背书的加密货币。其中也包括有安全和流动资产充分背书的稳定币,以及央行数字货币(CBDC).
1900/1/1 0:00:00本文深入探讨了 DAO 的操作系统。作者认为所有的组织都需要操作系统,DAO 也不例外。文章首先分析了一个好的操作系统和槽糕的操作系统的特征是如何的,并将其类比到 DAO 组织中去.
1900/1/1 0:00:00“市场已经见底了吗?”这是一个价值亿万美元的问题。如果您在 Web3 社区中花费一点时间,您会发现麻醉式希望主义者的人数很多。加密集体意识希望相信过去几个月的下跌是“暂时的”,市场价格将很快反弹。诚然,这种乐观情绪难以维持.
1900/1/1 0:00:00
宇宙链