链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 中币 > 正文

WEB3:微软高危零日漏洞 可执行任意代码 捂好你的加密钱包_FIC

作者:

时间:

近日,微软Office中一个被称为"Follina"的零日漏洞被发现。攻击者可使用微软的微软支持诊断工具,从远程URL检索并执行恶意代码。微软Office的系列套件和使用MSDT的产品目前仍有可能受该零日漏洞的影响。

微软在其公告中写道:"当从Word等调用应用程序使用URL协议调用MSDT时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。然后攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户"。

地球数字孪生平台Blackshark.ai完成2000万美元A轮融资,微软风投分支M12和Point72领投:11月11日消息,微软飞行模拟器背后的奥地利地球数字孪生平台Blackshark.ai完成2000万美元A轮融资,微软风投分支M12及Point72 Ventures领投。Google Earth联合创始人Brian McClendon和Y Combinator前首席运营官Qasar Younis加入顾问团队。新资金将用于开发和扩展其复制地球的技术。Blackshark.ai拆分自游戏工作室Bongfish,致力于让他们的世界构建技术超越单纯的游戏环境。他们的技术基础是通过机器学习、智能猜测和计算能力,将广泛可用的2D图像转化为精确的3D图像。元宇宙也会是未来的应用方向之一。(Tech Crunch)[2021/11/11 21:43:13]

由于该漏洞允许攻击者绕过密码保护,从而远程安装文件,或者查看、更改及删除数据,因此也被戏称为“零点击远程代码执行技术”。总的来说,攻击者可以在运行用户权限允许的范围内,通过发送一个微软Word文件,在你打开文件或在"预览"中查看文件的瞬间执行恶意代码,并在目标系统上远程执行恶意代码。

动态 | 区块链技术公司Diginex加入微软扩展计划:金色财经报道,区块链公司Diginex宣布已被选入微软的扩展计划(ScaleUp Program)。据悉,这是一项专为高增长公司设计的2年计划,利用微软的专业知识,扩大业务规模,为客户提供企业价值。[2019/12/12]

通过这种方式,黑客能够查看并获得受害者的系统和个人信息。这个零日漏洞允许黑客进一步攻击,提升黑客在受害者系统里的权限,并获得对本地系统和运行进程的额外访问,包括目标用户的互联网浏览器和浏览器插件,如Metamask-一个用于存储加密资金的软件钱包。

声音 | FairX创始人:星巴克与微软合作的区块链项目令人困惑:据Cointelegraph消息,针对星巴克将实施微软的Azure区块链服务来追踪咖啡生产的消息,金融服务公司FairX首席执行官、前IBM区块链分公司首席技术官Michael Dowling表示,在星巴克看来,微软的区块链平台可能比Quorum更有声望。然而,Dowling不确定星巴克为什么首先需要一个区块链。他表示,这可能是一种潜在的有效方法,可以跟踪哪个农民在采购客户“投票”选出的最佳豆类,但他想不出区块链技术可以实现的任何其他实际应用。“说实话,正如媒体所解释的那样,我觉得整个项目非常令人困惑,我不确定他们在试图解决什么问题。为什么需要去中心化?为什么这个程序——我想是为咖啡豆投票的人——需要应用公钥/私钥和分布式数据库?”[2019/5/13]

这样的漏洞表明了用户使用硬件钱包离线存储私钥的重要性,因为它可将私钥与被攻击的系统分开。忽视使用硬件钱包,是零日漏洞导致加密货币资金被盗的主要原因之一。

这种类型的漏洞在Web3世界中可以说是非常“流行”,每个月可导致数百万美元的损失。类似的攻击已经影响到Web3社区,而这个漏洞比"0-click"漏洞更严重。例如,发生在2022年3月22日的Arthur_0x黑客攻击,导致超过160万美元的NFT和加密货币损失。它使用了有针对性的网络钓鱼攻击技术,通过电子邮件发送了看起来像谷歌文档的链接,将恶意代码注入受害者的系统。另一个使用了有针对性的网络钓鱼攻击的例子发生在2022年2月19日,当交易者打开他们认为是OpenSea官方的关于迁移的电子邮件时,价值170万美元的ETH被盗走,导致恶意软件通过隐藏在伪装链接中的恶意合同被放入他们的钱包。

网络钓鱼攻击是攻击者可获得高价值,且操作相对简单的一种攻击方法。随着Web3用户能够即时直接地进行资产交易,网络钓鱼活动也随之增加。特别是Telegram和Discord相关的攻击,恶意链接每天都会出现在流行的服务器上。而随着Web3的发展,这些类型的攻击将继续增长,因为它成本低且有效性强,攻击者能够适应各种防御手段,以继续进行攻击。

如果你目前正在使用微软的Office,CertiK安全团队建议按照以下链接的步骤,正确保护你的设备和个人信息。?

可以防止攻击的一些方法步骤:

遵循最小权限原则,只给Windows用户分配完成其职责所需的权限。反过来,这也限制了攻击者在系统被破坏时继承的权限。?

在使用微软卫士的ASR时,在阻止模式下激活"阻止所有Office应用程序创建子进程"规则。

在审计模式下运行该规则,并监测结果,以确保对最终用户没有不利影响。

删除有关ms-msdt的文件类型,防止恶意软件运行。

来源:金色财经

标签:WEB3OFFFICWEBweb3.0币排行榜Offshift anonUSDYFIC价格web3游戏行业

中币热门资讯
稳定币:TerraUSD崩盘,监管注意力重回加密市场_Monsterra

USD的崩盘影响已经传导到了加密领域外部,监管将注意力拉回加密市场。5月8日,在Terra区块链上运行的美元算法稳定币UST发生大幅脱锚,原本相当于1美元的UST在5天内最低跌至0.04美元,脱.

TER:评定 Web 3 项目基本面,需要关注哪些关键指标?_AUSD

在过去的十年中,我们见证了各类Web3项目的爆炸式增长。Compound正在构建Web3版本的美国银行,Uniswap就像纽约证券交易所,YearnFinance是去中心化的贝莱德等.

UST:从法律、经济学和控制论等维度,探索 DAO 设计模式_区块链的四大核心技术

「去中心化自治组织」遍地开花,然而人们并不清楚DAO是什么,以及哪些设计元素构成DAO。目前,DAO已是多种多样.

美联储印钞机倒转: 这对加密货币意味着什么?

美联储正启动一项“量化紧缩”(QT)的举措,缩减其9万亿美元资产负债表。加密交易所和金融投资公司的分析师们对6月1日开始的量化紧缩政策是否会终结加密货币市场十年来前所未有的增长持不同意见.

WEB3:震荡修复即将完毕 日内空头即将开启_FTX

五月莺歌燕舞日,又到粽味飘香时。一年一度端午节,飞扬祝愿所有的币友端午安康,家庭幸福美满,币圈顺风顺水。该过节的过节,该为生活奔波的继续在为生活而奔波.

区块链:我们为什么需要区块链操作系统?_Cartesi

我们为什么需要区块链操作系统?我们会区块链操作系统交给它的贡献者,用他们自己的话来讲区块链操作系统为什么很对区块链很重要.