以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > Polygon > Info

WEB3:微軟高危零日漏洞 可執行任意代碼 捂好你的加密錢包

Author:

Time:1900/1/1 0:00:00

近日,微軟Office中一個被稱為"Follina"的零日漏洞被發現。攻擊者可使用微軟的微軟支持診斷工具,從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。

微軟在其公告中寫道:"當從Word等調用應用程序使用URL協議調用MSDT時,存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以使用調用應用程序的權限運行任意代碼。然后攻擊者可以安裝程序、查看、更改或刪除數據,或者在用戶權限允許的上下文中創建新帳戶"。

微軟將以每股95美元全現金收購動視暴雪 交易總價值687億美元:1月18日消息,微軟發布聲明稱,將以每股95美元的價格收購動視暴雪,全現金交易總價值687億美元。據計算,此次收購溢價約45%,股權價值約740億美元。交易已獲得微軟和動視暴雪董事會的批準。交易完成后,微軟將成為僅次于騰訊和索尼的全球第三大游戲公司。動視暴雪的游戲包括《使命召喚》、《糖果傳奇》、《魔獸爭霸》、《暗黑破壞神》、《守望先鋒》和《爐石傳說》。(財聯社)[2022/1/19 8:57:55]

由于該漏洞允許攻擊者繞過密碼保護,從而遠程安裝文件,或者查看、更改及刪除數據,因此也被戲稱為“零點擊遠程代碼執行技術”。總的來說,攻擊者可以在運行用戶權限允許的范圍內,通過發送一個微軟Word文件,在你打開文件或在"預覽"中查看文件的瞬間執行惡意代碼,并在目標系統上遠程執行惡意代碼。

動態 | 微軟Azure已托管63個區塊鏈應用程序,亞馬遜AWS已托管60個:由于高計算靈活性,云計算對區塊鏈空間的影響持續增長。截至目前,微軟Azure市場托管了63個區塊鏈應用程序,亞馬遜AWS市場托管了60個區塊鏈應用程序。(cointelegraph)[2019/10/19]

通過這種方式,黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊,提升黑客在受害者系統里的權限,并獲得對本地系統和運行進程的額外訪問,包括目標用戶的互聯網瀏覽器和瀏覽器插件,如Metamask-一個用于存儲加密資金的軟件錢包。

動態 | DLT軟件架構師需求比去年增長33倍 微軟、IBM等行業巨頭需求增多:風險投資公司ConsenSys博客文章顯示,區塊鏈開發人員在全球工作崗位排名中名列榜首,總體增長率最高。根據LinkedIn 2018年美國新興就業報告顯示,對DLT軟件架構師的需求“較去年增長33倍”,不乏安永、微軟、IBM等行業巨頭。同時,股權眾籌平臺AngelList數據顯示,DLT行業技術工作薪酬超過非區塊鏈組織中的同等職位,凸顯出對實用區塊鏈知識的高要求。此外,市場數據顯示,區塊鏈領域的非技術角色薪酬也超過非區塊鏈公司的類似角色待遇。[2019/5/26]

這樣的漏洞表明了用戶使用硬件錢包離線存儲私鑰的重要性,因為它可將私鑰與被攻擊的系統分開。忽視使用硬件錢包,是零日漏洞導致加密貨幣資金被盜的主要原因之一。

這種類型的漏洞在Web3世界中可以說是非常“流行”,每個月可導致數百萬美元的損失。類似的攻擊已經影響到Web3社區,而這個漏洞比"0-click"漏洞更嚴重。例如,發生在2022年3月22日的Arthur_0x黑客攻擊,導致超過160萬美元的NFT和加密貨幣損失。它使用了有針對性的網絡釣魚攻擊技術,通過電子郵件發送了看起來像谷歌文檔的鏈接,將惡意代碼注入受害者的系統。另一個使用了有針對性的網絡釣魚攻擊的例子發生在2022年2月19日,當交易者打開他們認為是OpenSea官方的關于遷移的電子郵件時,價值170萬美元的ETH被盜走,導致惡意軟件通過隱藏在偽裝鏈接中的惡意合同被放入他們的錢包。

網絡釣魚攻擊是攻擊者可獲得高價值,且操作相對簡單的一種攻擊方法。隨著Web3用戶能夠即時直接地進行資產交易,網絡釣魚活動也隨之增加。特別是Telegram和Discord相關的攻擊,惡意鏈接每天都會出現在流行的服務器上。而隨著Web3的發展,這些類型的攻擊將繼續增長,因為它成本低且有效性強,攻擊者能夠適應各種防御手段,以繼續進行攻擊。

如果你目前正在使用微軟的Office,CertiK安全團隊建議按照以下鏈接的步驟,正確保護你的設備和個人信息。?

可以防止攻擊的一些方法步驟:

遵循最小權限原則,只給Windows用戶分配完成其職責所需的權限。反過來,這也限制了攻擊者在系統被破壞時繼承的權限。?

在使用微軟衛士的ASR時,在阻止模式下激活"阻止所有Office應用程序創建子進程"規則。

在審計模式下運行該規則,并監測結果,以確保對最終用戶沒有不利影響。

刪除有關ms-msdt的文件類型,防止惡意軟件運行。

Tags:區塊鏈ICEWEB3OFF玩區塊鏈的都是什么人METAVICE價格WEB3價格Bitcoffeen

Polygon
FTS:注意力經濟是什么?NFT 在其中發揮怎樣的作用?

我們都只是在尋找自己的部落,像NFT這樣的商業工具只是讓發現和傳遞部落內信號的過程更容易。我們曾經在一個交易經濟中運作。我們以商品或服務為交換條件轉移財富、文化和思想.

1900/1/1 0:00:00
EFI:DeFi 去風險:分析去中心化系統中的系統性風險

從來沒有避免金融災難的萬能方法。在不可預測的社會中,系統性風險被只能部分處理。經濟條件、技術和人類行為都會隨著時間而變化,因此應對系統性風險的方法也必須保持可變.

1900/1/1 0:00:00
DEF:DeFi收益從哪里來?99%的投資者不知道的真相

貸方、質押者和流動性提供者通過存入代幣,從DeFi協議中獲得百分比獎勵。那么這些收益率和承諾的年利率到底來自哪里呢?許多DeFi項目建立在由通貨膨脹模型支持的不可持續的龐氏經濟學之上.

1900/1/1 0:00:00
DAPP:17 種加密貨幣投資風格 如何找到適合自己的?

你可以從17種交易風格中找到適合自己的那一款,也可以把它們融合在一起,最終創造屬于你自己的風格。原文標題:《17種加密貨幣投資風格,你屬于哪種?》在我來看,加密貨幣的投資風格可以分成17種.

1900/1/1 0:00:00
ERT:CertiK:2022年第一季度Web3.0行業安全報告發布

這是互聯網的黃金時代,也是科技發展的大爆炸時代。硅谷頂級風險投資機構a16z于2021年10月發布了一份提案《如何贏得未來》。這份提案的引言說道:Web3.0將是全新的起點.

1900/1/1 0:00:00
以太坊:區塊鏈道德風險高 開發者和用戶要注意些什么?

區塊鏈開辟了通往道德、聲譽、法律和經濟風險的新途徑,也帶來了第三方保護的缺乏,隱私的侵犯,零狀態問題,以及不良治理四種風險.

1900/1/1 0:00:00
ads