联想发布了一份安全公告，内容涉及影响其至少 100 台笔记本电脑型号上加载的统一可扩展固件接口 (UEFI) 的漏洞。

总共发现了三个安全问题，其中两个允许攻击者禁用对存储 UEFI 固件的 SPI 闪存芯片的保护并关闭 UEFI 安全启动功能，从而确保系统仅在启动时加载原始设备制造商 (OEM) 信任的代码。

成功利用标识为CVE-2021-3970的第三个漏洞可能允许本地攻击者以提升的权限执行任意代码。

这三个漏洞均由 ESET 研究人员发现，并于去年 10 月负责任地向联想报告。它们影响了 100 多种消费类笔记本电脑型号，包括 IdeaPad 3、Legion 5 Pro-16ACH6 H 和 Yoga Slim 9-14ITL05，这可能会转化为数百万使用易受攻击设备的用户。

错误添加的驱动程序
ESET 的研究人员警告说，攻击者可以利用这两个与 UEFI 相关的漏洞（CVE-2021-3971和CVE-2021-3972 ）“部署并成功执行 SPI 闪存或 ESP 植入”。

联想产品中与 UEFI 相关的两个安全问题都是由于在生产中引入了两个 UEFI 固件驱动程序——恰当地命名为 SecureBackDoor 和 SecureBackDoorPeim——它们仅在制造过程中使用。来自联想的安全公告描述了这样的漏洞：

CVE-2021-3971：在一些消费者联想笔记本设备的旧制造过程中使用的驱动程序存在潜在漏洞，错误地包含在 BIOS 映像中，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改固件保护区域。
CVE-2021-3972：在某些消费者联想笔记本设备的制造过程中使用的驱动程序存在潜在漏洞，该驱动程序错误地未停用，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。
此处提供了受这三个漏洞中每一个漏洞影响的联想笔记本电脑型号的完整列表。

UEFI 植入物难以检测
ESET 对发现的三个漏洞提供了详细的技术分析，指出“UEFI 威胁可能非常隐蔽和危险”，因为它们“在启动过程的早期执行，然后将控制权转移到操作系统”。

这意味着大多数在操作系统级别活动的缓解措施和安全解决方案都是无用的，有效负载的执行几乎是不可避免和不可检测的。

检测它们是可能的，尽管该过程需要更高级的技术，例如 UEFI 完整性检查、实时分析固件或监控固件行为和设备是否存在可疑活动。

这家网络安全公司过去曾发现过两种此类植入物，均被威胁行为者在野外使用：
Lojax - 于 2018 年发现并被俄罗斯国家支持的演员使用，被追踪为 APT28、Fancy Bear、Sednit、Strontium 和 Sofacy
ESPecter - 于 2021 年确定并自 2012 年起活跃（作为基于 BIOS 的系统的引导套件），用于在 EFI 系统分区 (ESP) 上保持持久性

不过，这些并不是唯一发现的 UEFI 威胁。卡巴斯基在 2020 年发布了有关MosaicRegressor的报告，2021 年发布了FinSpy报告，以及今年 1 月的MoonBounce报告。

为防止上述漏洞引发的攻击，Lenovo 建议受影响设备的用户将系统固件版本更新到可用的最新版本。

这可以通过从设备的支持页面手动安装更新或借助公司提供的用于更新系统驱动程序的实用程序来完成。

威胁分析人员发现了 BotenaGo 僵尸网络恶意软件的一种新变种，它是迄今为止最隐秘的变种，任何反病毒引擎都无法检测到它的运行。

BotenaGo 是一种相对较新的恶意软件，用 Google 的开源编程语言 Golang 编写。

僵尸网络的源代码自 2021 年 10 月被泄露以来，已经公开了大约半年。

从那时起，出现了几个变体，而原始变体继续活跃 并添加了针对数百万物联网设备池的漏洞利用。

Nozomi Networks Labs的研究人员最近发现了一种新的 BotenaGo 变体，它似乎源自泄露的源代码。

他们分析的样本针对 Lilin 安全摄像头 DVR 设备，这促使研究人员将其命名为“Lillin 扫描仪”。

隐秘的新版本
Lillin BotenaGo 变种最显着的特征是它不会被 VirusTotal 扫描平台上的防病毒引擎检测到。

完全逃避检测的 Lillin 扫描仪变体 (Nozomi)
造成这种情况的原因之一是它的作者已经删除了原始 BotenaGo 中存在的所有漏洞，只专注于使用存在两年前的严重远程代码执行漏洞的 Lilin DVR。

值得注意的是，此漏洞与 Fodcha 恶意软件 使用的相同，这是另一个新发现的僵尸网络，用于发起分布式拒绝服务 (DDoS) 攻击，并记录了令人印象深刻的增长。

因此，似乎有大量未修补的 Lilin DVR 设备可供新的僵尸网络恶意软件作者专门针对它。

通往未来的门户
Lillin 扫描仪和原始 BotenaGo 之间的另一个区别是前者依赖外部大规模扫描工具来形成可利用设备的 IP 地址列表。

接下来，恶意软件使用该功能通过明文字符串感染所有有效且可访问的 IP 地址，然后依赖一个硬编码列表，其中包含通常设置在保护不佳的端点上的 11 个凭据。

Lilin 特定的“root/icatch99”和“report/8Jg0SR8K50”也包含在此列表中。如果匹配，威胁参与者可以在目标上远程执行任意代码。

身份验证尝试 （Nozomi）
该漏洞利用带有恶意代码的 POST 请求，提交到dvr/cmd，旨在修改摄像机的 NTP 配置。

如果成功，新配置将执行wget命令从 136.144.41[.]169 下载文件 ( wget.sh )，然后运行它。如果不成功，恶意软件会尝试将命令注入cn/cmd。

使用 wget 命令的 POST 请求 （Nozomi）
wget.sh文件下载为多种架构编译的Mirai 有效载荷，并在受感染的设备上执行它们。

其中一些有效载荷于最近和 2022 年 3 月被上传到 VirusTotal，这表明测试期是新鲜的。

Nozomi 研究人员报告称，Mirai 具有一些 IP 范围排除功能，以避免感染美国国防部 (DoD)、美国邮政服务 (USPS)、通用电气 (GE)、惠普 (HP) 等。

Mirai (Nozomi)上的 IP 范围排除
Mirai 接管了更广泛的漏洞利用和设备列表，因此在这次活动中，Lilin DVR 漏洞利用充当了更大的感染浪潮的门户。

不是一个巨大的威胁
Lillin 扫描仪变体似乎不会对物联网构成巨大威胁，因为它的目标非常明确，即使第二阶段 Mirai 具有更强大的潜力。

而且，它不能自行传播，因为扫描和感染功能都是手动操作的，所以它更像是一种窄目标威胁，或者可能还处于实验阶段。

尽管如此，它仍然是一个有趣的新僵尸网络项目，它证明了恶意软件作者使用已知的记录代码构建完全隐蔽的僵尸网络是多么容易。

最后，这是另一个例子，说明技能较低的网络犯罪分子如何利用泄露的恶意软件源代码来建立自己的行动。

密码喷射攻击是攻击者常用的一种专门的密码攻击，它相当有效，有助于避免被传统密码防御检测到。密码喷射攻击可能会在许多不同的帐户和服务中尝试一个或两个通用密码，而不是在单个用户帐户上尝试许多不同的密码。

它甚至可能跨越许多不同的组织。它是目前发生的十大最常见的密码攻击之一。

在这种类型的攻击中，黑客选择最终用户常用的密码或在泄露的密码转储中发现的密码。密码喷洒攻击有助于避免被许多可用的传统安全监控解决方案检测到，因为攻击模式看起来类似于正常的失败登录尝试。

这些尝试不会锁定帐户或触发其他监控阈值，因为每个用户只有几次尝试。

密码喷洒就是赌一把——攻击者知道如果他们在数千个账户中喷洒通用密码，他们很可能会在拥有易于猜测的密码的用户中取得一些成功，例如最近在 2022 年弱密码报告中发现的这些密码来自 Specops。

您的 ADFS 面临风险
使用 Active Directory 联合服务 (ADFS) 的组织将拥有一个通常使用传统 ADDS 密码和帐户锁定策略的 Active Directory 域服务基础结构。此外，大多数组织都会有一个帐户锁定策略，该策略会在 3-5 次不成功的登录尝试后触发，锁定用户帐户。

密码喷洒保持在此阈值以下，目标用户帐户不会触发帐户锁定。

被盗的帐户密码为攻击者提供了进入受害者网络的“阻力最小的路径”。一旦获得泄露的凭据，攻击者可以轻松访问关键业务系统。

ADFS 是一种解决方案，允许联合身份和访问管理以及跨企业边界共享权利和授权权限。

ADFS 用于将本地 ADDS 帐户与 Office 365 统一起来
威胁参与者可能会使用这些初始成功的密码喷洒受害者来梳理电子邮件，寻找其他联系人、敏感信息、特权信息，或向组织中的其他人发送网络钓鱼链接。

公司经常在本地和云环境之间使用 ADFS IAM，并为跨基础设施边界的业务关键资源提供单点登录。

那么，组织如何保护他们的 ADFS 环境免受密码攻击，包括密码喷洒和其他试图窃取和破坏凭据的威胁？

保护 ADFS 免受密码喷射攻击
Microsoft 建议采用多层方法来保护您的 ADFS 环境免受密码喷洒和其他类型的密码攻击。推荐的安全保护适用于三个安全级别，包括：

基线
保护您的外联网
转为无密码以进行外联网访问
1. 基线
Microsoft 的首要建议之一是运行 ADFS 2016，也称为 AFFS 4.0。

使用 ADFS 2016，您可以实施外联网智能锁定。Extranet 智能锁定保护用户免受恶意活动的帐户锁定。

它通过区分来自熟悉位置的用户登录尝试和来自恶意活动的登录尝试来做到这一点。

这种保护甚至可能触发一两次不寻常的登录尝试，这可能会更快地阻止密码喷雾器。

2. 保护您的外联网
使用 ADFS 保护您的 Extranet 涉及对移动客户端使用现代身份验证以及使用多因素身份验证 (MFA) 来保护所有 Extranet 访问。现代设备和电子邮件客户端可以使用身份验证协议连接到您的 ADFS 联合外联网。

MFA 可以与 Azure AD 中的条件访问策略一起使用，以围绕用户登录提供强大的安全上下文，以增加对这些类型攻击的保护。

3. 转为无密码访问外网
完全摆脱密码显然可以显着降低用户密码带来的风险。Microsoft 提供了多种无密码技术，包括：

Windows 10 和 11 Hello 企业版
MDM 管理的设备可以利用基于证书的登录
Azure MFA OTP
但是，许多组织可能会发现无密码身份验证还不够成熟，无法在其环境中替换密码。

正如我们所看到的，微软几乎放弃了 Azure Active Directory 的 Active Directory，微软推动无密码意味着密码本身比以往任何时候都更容易受到攻击。当我们看到 Microsoft 将重点从市场上排名第一的身份验证方法转移时，如果没有可靠的解决方案，组织可能会更容易受到攻击。

与其跳到可能无法大肆宣传的技术上，组织应该专注于保护他们当前的身份验证方法，并利用简单的策略，如多种因素、阻止已知的泄露密码和鼓励使用密码短语。

Specops 密码策略的额外安全性
传统企业数据中心密码安全的一个重要弱点是在 Active Directory 域服务密码策略中发现的过时密码策略允许易于破解的密码在整个组织中猖獗。

不幸的是，ADDS 密码策略并非针对当今组织面临的现代密码挑战而设计，包括密码喷洒攻击和危险的最终用户行为，例如递增密码。

Specops 密码策略是基于 Active Directory 中的组策略引擎构建的强大密码策略解决方案。它使组织能够克服本机 Active Directory 密码策略功能的限制。Specops 使用暴力破解或其他密码喷射攻击来防止已知的泄露密码和新发现的密码。

持续的 Specops 泄露密码保护使用 Specops 自己的全球蜜罐网络来捕获泄露的密码数据。然后将这些数据反馈到 Specops Breached Password Protection 以及 Specops 密码策略。

有一个额外的安全层来保护您的 ADFS 和 Specops 密码策略就是一个好主意

哥伦比亚大学的研究人员开发了一种新算法，可以阻止通过智能手机、语音助手和一般连接设备中的麦克风进行的流氓音频窃听。

该算法可以预测性地工作。它会推断用户接下来会说什么，并实时生成阻塞的可听背景噪音（耳语）以覆盖声音。

目前，该系统仅适用于英语，成功率约为 80%。噪音的音量相对较低，最大限度地减少了用户干扰并允许舒适的对话。

实际测试表明，无论使用什么软件和麦克风的位置，系统都可以通过自动语音识别技术使语音无法辨别。

该大学的公告还承诺未来的发展将专注于更多语言，语言学允许类似的表现并使耳语的声音完全难以察觉。

一个复杂的问题
麦克风已嵌入当今几乎所有的电子设备中，当用户收到私人谈话中提到的产品广告时，他们会体验到高级别的自动窃听。

许多研究人员之前曾尝试通过使用白噪声来降低这种风险，这种白噪声可以在一定程度上欺骗自动语音识别系统。

然而，研究人员表示，在实际情况下使用任何现有的实时语音隐藏方法都是不可能的，因为音频需要近乎瞬时的计算，而这在今天的硬件中是不可行的。

解决这个问题的唯一方法是开发一个预测模型，该模型能够跟上人类语音，识别其特征，并根据接下来的预期单词产生破坏性的耳语。

神经语音伪装
基于应用于数据包丢失隐藏的深度神经网络预测模型，哥伦比亚大学的研究人员开发了一种基于他们所谓的“预测攻击”模型的新算法。
也就是说，要考虑到语音识别模型被训练来转录的每个说出的单词，预测用户何时会说这些单词，并在正确的时刻产生耳语。

预测攻击模型的工作原理 (Arxiv.org)
他们在 100 小时的语音数据集上使用 8 个 NVIDIA RTX 2080Ti GPU 对模型进行了为期两天的训练，该数据集为此目的通过向后和向前传递进行了调整

使语音无法识别的声波偏移示例 (Arxiv.org)
正如研究人员在技术论文中解释的那样，他们发现最佳预测时间是未来 0.5 秒。

他们的实验针对各种语音识别系统测试了该算法，发现在部署耳语时总体诱导词错误率为 80%。

测试结果表，WER（单词错误率），CER（字符错误率） - Arxiv.org
此外，科学家们还展示了一些现实的室内测试，以及每种情况下由语音识别系统识别的文本。

带和不带耳语干扰的语音文本 (Arxiv.org)
值得注意的是，实验表明，像“the”、“our”和“they”这样的较小词更难掩盖，而较长的词通常更容易被算法攻击。

影响
这项研究和语音窃听破坏系统的开发证明了针对目标营销的无限制数据收集的系统性监管失败。

即使这些反间谍系统在未来得到广泛应用，人工智能开发人员几乎肯定会尝试调整他们的识别方法，以克服破坏性的窃窃私语或扭转其影响。

随着情况的复杂性增加，人们保护自己的隐私将变得更加不堪重负。

例如，在家中或办公室部署无声反窃听工具会引入新的潜在风险点，因为即使这些工具是值得信赖的，以它们为目标以实时访问预测数据本质上是间接窃听。

谷歌从竞争对手亚马逊和微软那里窃取云客户的努力将基于其作为网络安全提供商的实力而获胜或失败。

这家网络巨头正在向其安全产品注入数十亿美元，这样这个大赌注就会得到回报。这包括合并和收购以及构建跨 AWS、Azure 和本地环境工作的技术。

谷歌云安全副总裁 Sunil Potti 表示，尽管最终目标仍然是将大型组织转移到谷歌云，但在过渡期间帮助客户加强网络和计算机防御是一个关键目标。

Potti 在接受The Register采访时说：“如果您的大部分工作负载都在云上，那么您的整体安全卫生状况会显着提高。 ” “这是我们的最终目标，我们真正的北方。但在此过程中，我们必须帮助实现安全现代化，因为对手没有等待。”

Google Cloud 中这种经过深思熟虑的安全策略始于大约三年半前——在SolarWinds 标志着企业 IT 领域广泛供应链攻击时代的开始之前。Potti 说，“我们不只是将谷歌作为云服务提供商出售，而是故意决定……我们是一个安全品牌。”

对于谷歌来说，它既是一项战略举措，也是一个差异化因素，它仍然是排名第三的云提供商——有时甚至更靠后——仅次于亚马逊和微软，具体取决于你阅读的市场份额报告。

客户甚至在他们准备好之前就想谈论多云，而他们仍然在单一云上，例如亚马逊网络服务或 Azure。在客户甚至还没有承诺使用谷歌云平台之前，谷歌希望它至少可以用其安全保护技术吸引客户。换句话说，确保客户可以选择谷歌云作为安全提供商，至少，如果不是一个完整的云平台的话。

“实际上，发生的事情是有人从一个云开始，达到临界质量，然后他们扩展到其他云，”波蒂说。

“因此，在我们等待这些多云决策的同时，如果您可以从 CIO 重新回到 CISO 办公室，然后在 CISO 办公室，找到一种方法让他们像我们在 Google 内部一样拥抱安全，但不一定必须来谷歌云吗？”

成为安防品牌
谷歌对此的回答是Anthos——其于 2019 年推出的多云平台。它允许客户在其数据中心、谷歌云平台以及 AWS 和 Azure 上运行 Kubernetes 工作负载。

它让安全成为主角。该平台利用了谷歌在 2010 年开始开发的BeyondCorp安全方法，此前中国网络间谍成功渗透到它和其他硅谷科技巨头的网络并窃取了知识产权。

安全漏洞促使谷歌将访问控制从网络边界转移到个人用户和设备——这已成为零信任的流行语。

同样在 2019 年，谷歌将其Chronicle安全分析平台（该平台已从 Alphabet 分拆成一家独立的初创公司）重新纳入其云安全领域。

大约在这个时候，安全成为谷歌云的主要支柱，谷歌“在其独立的安全产品上投入了大量资金，”波蒂回忆道。“我们有基础设施，我们有 Workspace，我们有数据和分析，还有 ML-AI，然后我们有安全云，”他说。

我们被告知谷歌试图对其竞争对手采取不同的方法。

“有了亚马逊，你必须在亚马逊才能体验其他的安全功能，”Potti 声称。“如果你不完全在亚马逊上，你就不能现代化你的安全运营中心 (SOC)。如果你不在亚马逊上，你就不能对你的所有企业和承包商采取零信任的态度” .

与此同时，他认为，微软“希望成为安全产品和软件的终极目标”。“你听到的类比是微软在森林里起火，然后作为一名护林员冲锋陷阵，”他打趣道。

Potti 声称谷歌的战略在几个关键方面与其两个主要的云竞争对手不同。首先，它的安全产品可以在客户的环境中运行，而不仅仅是在 Google Cloud 内部。其次，我们没有提供通用的安全堆栈，而是选择了几个市场作为我们从根本上认为对重新构想最关键的优先市场，并将所有这些学习成果装入几个大的细分市场，”他解释说.

自动驾驶SOC
安全运营中心 (SOC) 就是其中之一。Potti 说，这是谷歌利用其内部开发的技术结合收购将客户转移到“自动驾驶”业务的领域。

在其有史以来的第二大收购中，谷歌以 54 亿美元的价格收购了 Mandiant，这将把该公司的威胁检测和情报以及咨询服务和事件响应引入谷歌云。值得注意的是，据报道，微软还探索了 Mandiant 的收购，但最终失败了。

Potti 无法讨论 Mandiant 的交易，这也是诉讼的主题。但在 3 月，当谷歌宣布收购计划时，这家云提供商表示计划将 Mandiant 的服务整合到其安全运营产品组合中。

这包括用于零信任的 BeyondCorp Enterprise、用于软件漏洞的 VirusTotal、Chronicle 的安全分析和自动化以及 Google Cloud 新宣布的网络安全行动团队。

例如，“Google Cloud 的 Chronicle、Siemplify 解决方案和 Mandiant 的自动防御中的安全操作工具可帮助客户分析、优先考虑和简化威胁响应，并利用 Mandiant 的专业知识作为其团队的虚拟扩展，”当时 谷歌的一份声明说。

据报道，在宣布收购 Mandiant 的几个月前，谷歌斥资 5 亿美元收购了 Siemplify，将安全编排、自动化和响应 (SOAR) 纳入 Chronicle，后者已经提供了安全信息和事件管理 (SIEM) 和分析功能。

端点、XDR 合作伙伴
此外，谷歌与端点和扩展检测和响应提供商合作，包括 CrowdStrike、Palo Alto Networks 和 Cyber​​eason，它们在谷歌的 Chronicle 和 BeyondCorp 企业套件之上提供自己的安全服务，“以获得更多完整的服务，”Potti 指出。

除了与端点检测和响应机构合作外，谷歌去年年底还向 Cyber​​eason 投资了 5000 万美元。

这些举措旨在帮助客户“从手动安全操作过渡到自动安全操作再到自主安全操作，”Potti 说。

他解释说，自动化安全只能让组织实现目标的一半。“一旦你解锁了存储无限量数据的能力——比如来自你的 DNS 系统或端点的 PB 级数据——你就可以超越自动化，进入我所说的自主操作。”

Potti 说，这使得实时上下文——以及使用人工智能与真人威胁追踪团队来分析大量数据以发现潜在威胁——变得越来越重要。

他以对欧洲一家银行的民族国家攻击为例，说明谷歌利用有机和无机安全能力转移到其他地区的自主安全运营。

“无论我从前线收集到什么情报，”他解释说，“都可以渗透到……其他所有实时订阅该服务的客户身上。” Potti 说，有了系统中的这些知识，“如果该攻击者作为零日攻击出现在亚特兰大，识别该攻击者的机会将大大提高。”

英格兰上诉法院裁定，IBM 必须向客户支付五倍以上的赔偿金，该客户的价值 1.75 亿英镑（2.3 亿美元）的敏捷软件平台合同在 2017 年因项目的一系列失败而被撕毁。

蓝色巨人与客户（前身为 Co-Op Group 的子公司 CIS General Insurance Ltd (CISGIL)）之间的法律纠纷与 2015 年达成的一项协议有关，该协议旨在构建软件来管理客户的保险和承保业务。

Co-Op 首席执行官 Mark Summerfield 将所提供的开箱即用平台描述为“糟糕”。据说它不符合目的，在扣留给 IBM 的付款后，该项目最终崩溃了。合作社并非无可指责。

CISGIL 最初的索赔是 1.28 亿英镑（1.7 亿美元）的损害赔偿。

事情似乎在去年 2 月达到了顶点，当时一名法官指责 IBM 的“严重延误”导致两家公司之间的协议破裂。

O'Farrell 法官裁定这家美国 IT 巨头非法终止合同，并向 Co-Op Insurance赔偿1300 万英镑（1700 万美元），Co-Op Insurance在 2018 年以 1.85 亿英镑（2.43 亿美元）的价格将承保业务出售给 Soteria Insurance。 2020 年 12 月。

然而，当时，关于浪费成本的索赔被驳回，理由是根据合同第 23.3 条，它“被一项排除利润损失、收入和预期储蓄损失的条款所吸引”，Soteria 的法律简报告诉The Register。 .

然而，在2 月下旬由 Coulson 大法官在上诉法院下达并于最近公布的最新判决中，法官表示，他的前任将一项条款解释为排除 Soteria 审判的条款是“错误的”，有“单独的原因”。以收回“IBM 拒绝合同后浪费的支出”的款项。

他说，这些包括排除条款中语言的使用以及其中包含的内容的明确性——没有使用“浪费的支出”一词。Coulson 说，能够就浪费的支出提出索赔是一项“有价值的索赔”，并且可以通过发票、合同、收据等“轻松确定”。

他说，“浪费的支出是一种公认​​的和可收回的损失类型，完全符合补偿原则。”

“为了排除这种可能的索赔的可收回性，排除必须是明确和明显的。然而，[合同中]没有相关的排除词，更不用说明确和明显的词了。IBM 所依赖的令人费解的论点避免这种困难只会证实缺乏必要的明确性。”

他补充说，尽管“有一个可反驳的假设，即如果合同已经履行，浪费的支出将从利润/储蓄/收入中收回，但这并不能确定对支付给第三方供应商等款项的索赔。期望合同将与利润、收入或储蓄损失索赔一样完成，或暗示包含在索赔中。”

对上诉作出裁决的所有三名法官都同意，库尔森大法官的结论是“应支付 80,574,168 英镑的款项”，相当于 1.059 亿美元。

此前，在 2021 年 2 月，IBM 的一位发言人告诉我们，它“很高兴结束这场纠纷”，并且“CISGIL 夸大的损害赔偿索赔 [金额] 只是索赔金额的一小部分。” 这一次，IBM 没有回应置评电话。

伊拉克云产品:

提供1Gbps 口100M带宽

内存：1-32GB

每台服务器都配备了高性能、持久的基于 SSD 的存储或 SAN 存储
线路 以电信为主

伊拉克云  https://www.zzqidc.com/business/haiwaiyun.html?label_id=179

                                                                         哈萨克斯坦物理机服务器市场，报价单  （合作）

哈萨克斯坦(B版) 合作QQ:2324083729

Microsoft 增加了通过 Microsoft 365 和 Dynamics 365 / Power Platform 漏洞赏金计划报告的高影响安全漏洞的最高奖励。

随着这两个计划的扩展，报告 Office 365 和 Microsoft 帐户服务漏洞的安全研究人员可以获得高达 30% 的符合条件的方案。

“通过这些新的基于场景的赏金奖励，我们鼓励研究人员将他们的研究重点放在对客户隐私和安全具有最大潜在影响的漏洞上，”微软安全响应中心 (MSRC) 的一份声明显示。

“对于符合条件的方案提交，奖励最多增加 30%（总计 26,000 美元）。”

微软补充说，被认为影响不高的缺陷可能仍然有资格获得一般奖励计划的赏金。

他们还可以根据报告的漏洞的严重性和提交的质量获得更高的奖励。

该公司表示： “如果报告的漏洞不符合高影响场景下的赏金资格，它可能有资格获得一般奖下的赏金。 ”

“根据漏洞的严重性和影响以及提交的质量，微软可以自行决定更高的奖励。”

设想 最高奖
通过不受信任的输入执行远程代码（CWE-94“代码生成控制不当（'代码注入'）”） 30.00%
通过不受信任的输入执行远程代码（CWE-502“不受信任数据的反序列化”） 30.00%
未经授权的跨租户和跨身份敏感数据1 泄漏（CWE-200“向未经授权的参与者暴露敏感信息”） 20.00%
未经授权的跨身份敏感数据泄露（CWE-488“数据元素暴露给错误的会话”） 20.00%
“混淆代理”漏洞可用于以绕过身份验证的方式访问资源的实际攻击（CWE-918“服务器端请求伪造（SSRF）”） 15.00%
一周前，微软宣布 最终将本地 Exchange、SharePoint和 Skype for Business 添加到其漏洞赏金计划中。

安全研究人员现在可以找到并报告影响本地 Exchange 和 SharePoint 服务器的漏洞，从而获得 500 到 26,000 美元的奖金。

MSRC 团队表示，赏金猎人研究人员可以根据漏洞影响产生的严重性乘数（15% 到 30% 之间）获得更高的奖励。
M365 赏金计划页面上提供了有关奖励金额、高影响方案和更新的范围内域列表的更多详细信息 。

用于将 Google Play 商店添加到 Android 子系统的流行 Windows 11 工具箱脚本已使用恶意脚本、Chrome 扩展程序和潜在的其他恶意软件秘密感染用户。

当 Windows 11 于 10 月发布时，微软宣布将允许用户直接在 Windows 中运行原生 Android 应用程序。

这一功能让许多用户兴奋不已，但当2 月份发布适用于 Windows 11 的 Android 预览版时，许多用户对无法将其与 Google Play 一起使用而感到失望，并被亚马逊 App Store 中的应用程序卡住了。

虽然有一些方法可以使用ADB 旁载 Android 应用程序，但用户开始寻找让他们将 Google Play 商店添加到 Windows 11 的方法。

大约在那个时候，有人在 GitHub 上发布了一个名为 Windows Toolbox的新工具，该工具 具有许多功能，包括能够解压 Windows 11、激活 Microsoft Office 和 Windows，以及为 Android 子系统安装 Google Play Store。

GitHub 上的 Windows 工具箱
一旦科技网站发现了这个脚本，它就被许多人迅速推广和安装。

然而，直到本周大家都不知道，Windows Toolbox 实际上是一个木马，它执行一系列模糊的恶意 PowerShell 脚本，以在设备上安装木马点击程序和可能的其他恶意软件。

滥用 Cloudflare 工作人员安装恶意软件
在过去的一周里，不同的用户 分享了一个发现，即 Windows 工具箱脚本是一个非常聪明的恶意软件攻击的前线，导致了令人惊讶的低质量恶意软件感染。

虽然 Windows Toolbox 脚本执行了 GitHub 上描述的所有功能，但它还包含混淆的 PowerShell 代码，该代码将从 Cloudflare 工作人员那里检索各种脚本，并使用它们在受感染的设备上执行命令和下载文件。

要运行 Windows Toolbox，开发人员告诉用户执行以下命令，该命令从托管在http://ps.microsoft-toolbox.workers.dev/的 Cloudflare 工作程序加载 PowerShell 脚本。
启动脚本的原始 GitHub 说明
使用 Cloudflare Workers 来托管恶意脚本很聪明，因为它允许威胁参与者根据需要修改脚本并使用未被过度利用的平台来分发恶意软件，因此它可能不太容易被检测到

该脚本看起来像宣传的那样，具有消除 Windows 11 膨胀、禁用遥测、修复 Your Phone 应用程序、设置电源配置文件等功能。

然而，在脚本的第 762 行和第 2,357 行，存在混淆代码，但乍一看，它似乎不会带来任何风险。

混淆的 PowerShell
但是，在去混淆后，它会转换为 PowerShell 代码 [ Stage 1、Stage 2、Stage 3 ]，从 Cloudflare 工作人员和https://github.com/alexrybak0444/ GitHub 存储库中加载恶意脚本和文件。

威胁参与者 GitHub 存储库
该存储库包含大量文件，包括重命名的 Python 发行版、7Zip 可执行文件、Curl 和各种批处理文件。

不幸的是，存储在 Cloudflare 上的某些脚本需要发送特殊的标头才能访问它们，或者根本不再可用，因此很难准确分析这些 PowerShell 脚本、批处理文件和文件在受感染设备上的作用。

向 Cloudflare 工作人员发送特殊标头
我们所知道的是，这些恶意脚本仅针对美国用户，并创建了大量具有以下名称的计划任务：

Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup
这些计划任务用于配置各种变量，创建由任务运行的其他脚本，以及杀死进程，例如 chrome.exe、msedge.exe、brave.exe、powershell.exe、python.exe、pythonw.exe、 cdriver.exe 和 mdriver.exe。

它还创建了一个隐藏c:\systemfile文件夹，并将Chrome、Edge 和 Brave的默认配置文件复制到该文件夹​​中。

PowerShell 脚本在此文件夹中创建了一个 Chromium 扩展，以在浏览器启动时执行来自https://cdn2.alexrybak0555.workers.dev/的脚本。

这个脚本似乎是这次攻击的主要恶意组件，虽然它上传了有关受害者的地理位置信息，但奇怪的是，它的恶意行为仅用于通过将用户重定向到附属和推荐 URL 来产生收入。

当用户访问 whatsapp.com 时，脚本会将他们重定向到以下随机 URL 之一，其中包含“赚钱”骗局、浏览器通知骗局和有害软件的促销。
https://tei.ai/hacky-file-explorer
https://tei.ai/pubg-for-low-spec-pc
https://tei.ai/get-free-buck
https://tei.ai/win-free-digital-license
https://tei.ai/make-money-online-right-now
https://tei.ai/make-money-online-35-way
https://tei.ai/9qmcSfB
https://tei.ai/GCShsSr
https://tei.ai/wCJ88s
命中错综复杂的脚本所传递的有效负载的影响是如此之小，以至于几乎感觉像是缺少了什么。

可能是这种情况，因为其中一个计划任务执行来自 autobat.alexrybak0444.workers.dev 的代码，其中可能包含更多恶意行为。但是，此脚本未存档且不可用。

对于过去运行此脚本并担心他们可能被感染的人，您可以检查上述计划任务和 C:\systemfile 文件夹是否存在。

如果存在这些，请删除关联的任务、systemfile 文件夹以及安装为 C:\Windows\security\pywinvera、C:\Windows\security\pywinveraa 和 C:\Windows\security\winver.png 的 Python 文件。