比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > MEXC > Info

區塊鏈:微軟高危零日漏洞 可執行任意代碼 捂好你的加密錢包_WEB3

Author:

Time:1900/1/1 0:00:00

近日,微軟Office中一個被稱為 "Follina "的零日漏洞(編號CVE-2022-30190)被發現。攻擊者可使用微軟的微軟支持診斷工具(MSDT),從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。

微軟在其公告中寫道:" 當從 Word 等調用應用程序使用 URL 協議調用 MSDT 時,存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以使用調用應用程序的權限運行任意代碼。然后攻擊者可以安裝程序、查看、更改或刪除數據,或者在用戶權限允許的上下文中創建新帳戶 "。

菲律賓聯合銀行UnionBank已與微軟合作在Azure上進行區塊鏈試驗:9月3日消息,菲律賓聯合銀行 (UnionBank) 在推行一個three-point plan,旨在通過數字技術轉變其運營方式,建立數字銀行。作為計劃的一部分,UnionBank已與微軟合作在Azure上成功進行了區塊鏈試驗。

Azure是一個開放、靈活和可擴展的平臺,支持數量快速增長的分布式賬本技術,Microsoft的數據和AI解決方案提供了鏈下數據管理和分析功能。UnionBank正在通過其創新和領導文化來擁抱數字化轉型,是菲律賓第一家進行區塊鏈試驗的銀行。(adobotech)[2021/9/3 22:58:02]

由于該漏洞允許攻擊者繞過密碼保護,從而遠程安裝文件,或者查看、更改及刪除數據,因此也被戲稱為“零點擊遠程代碼執行技術”。總的來說,攻擊者可以在運行用戶權限允許的范圍內,通過發送一個微軟Word文件,在你打開文件或在 "預覽 "中查看文件的瞬間執行惡意代碼,并在目標系統上遠程執行惡意代碼。

動態 | 微軟GitHub在北極世界檔案館儲存比特幣代碼:金色財經報道,微軟的GitHub存檔計劃對比特幣代碼以及其他開源項目(如Linux和安卓的開源部分)進行“末日驗證(apocalypse-proofing)”,通過將比特幣代碼存儲在北極世界檔案館(Arctic World Archive )中來保護現代文明。為了幫助確保為后世保留開源項目,北極世界檔案館被設計為可抵御氣候變化、自然災害和外部訪問。其位于海拔104米的永久凍土層深處350米,在世界最北端城鎮挪威斯瓦爾巴特群島的一個廢棄礦井里。據悉,比特幣的項目對GitHub網站上的活動存儲庫進行快照,并將其安全地存放在北極世界檔案館中,特殊膠片設計使其使用壽命可長達1000多年。[2020/2/27]

通過這種方式,黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊,提升黑客在受害者系統里的權限,并獲得對本地系統和運行進程的額外訪問,包括目標用戶的互聯網瀏覽器和瀏覽器插件,如Metamask - 一個用于存儲加密資金的軟件錢包。

微軟中國CTO黎江:不要給區塊鏈貼標簽:微軟中國CTO黎江表示:“不管是好人簽還是壞人簽,我并沒有給區塊鏈、數字貨幣貼過任何標簽。真正懂區塊鏈的人,多數是最早接觸到區塊鏈并認識到它的價值,敢用區塊鏈技術,進而去做應用場景探索的人。先不管這些先驅們的應用場景對不對,至少他們對區塊鏈技術的認知肯定比絕大多數人早,也更深。”[2018/2/5]

這樣的漏洞表明了用戶使用硬件錢包(如Ledger、Trezor等)離線存儲私鑰的重要性,因為它可將私鑰與被攻擊的系統分開。忽視使用硬件錢包,是零日漏洞導致加密貨幣資金被盜的主要原因之一。

這種類型的漏洞在Web3世界中可以說是非常“流行”,每個月可導致數百萬美元的損失。類似的攻擊已經影響到Web3社區,而這個漏洞比 "0-click "(零點擊攻擊)漏洞更嚴重。例如,發生在2022年3月22日的Arthur_0x黑客攻擊,導致超過160萬美元的NFT和加密貨幣損失。它使用了有針對性的網絡釣魚攻擊技術,通過電子郵件發送了看起來像谷歌文檔的鏈接(但實際上是微軟Word文件),將惡意代碼注入受害者的系統。另一個使用了有針對性的網絡釣魚攻擊的例子發生在2022年2月19日,當交易者打開他們認為是OpenSea官方的關于遷移的電子郵件時,價值170萬美元的ETH被盜走,導致惡意軟件通過隱藏在偽裝鏈接中的惡意合同被放入他們的錢包。

網絡釣魚攻擊是攻擊者可獲得高價值,且操作相對簡單的一種攻擊方法。隨著Web3用戶能夠即時直接地進行資產交易,網絡釣魚活動也隨之增加。特別是Telegram和Discord相關的攻擊,惡意鏈接每天都會出現在流行的服務器上。而隨著Web3的發展,這些類型的攻擊將繼續增長,因為它成本低且有效性強,攻擊者能夠適應各種防御手段,以繼續進行攻擊。

如果你目前正在使用微軟的Office,CertiK安全團隊建議按照以下鏈接的步驟,正確保護你的設備和個人信息。(來源微軟支持診斷工具漏洞的指導意見Guidance for Microsoft Support Diagnostic Tool Vulnerability)?

可以防止攻擊的一些方法步驟:

遵循最小權限原則,只給Windows用戶分配完成其職責所需的權限。反過來,這也限制了攻擊者在系統被破壞時繼承的權限。?

在使用微軟衛士的ASR時,在阻止模式下激活 "阻止所有Office應用程序創建子進程 "規則。

在審計模式下運行該規則,并監測結果,以確保對最終用戶沒有不利影響。

刪除有關ms-msdt的文件類型,防止惡意軟件運行。

來源:CertiK中文社區

Tags:區塊鏈IONWEB3ICE區塊鏈專業lion幣騙局web3域名值錢嗎JUICE

MEXC
區塊鏈:Vitalik:激進去中心化——實現自由之路_Vital Ethereum

世界各地的富裕社會對當局的信任危機與日俱增。停滯不前的經濟,日益加劇的不平等和腐敗,以及精英階層為了利益對技術壟斷,激起了民粹主義的反彈。這些不滿情緒我們都有切身體會,并且也深受其害.

1900/1/1 0:00:00
NFT:NFT市場在2022年發生了什么 市場為何大幅下滑?_ORL

2021年的NFT市場在Crypto社區內出現了前所未有的炒作,并彰顯了巨大的吸引力。但是時間來到了2022年,市場似乎帶來了不同的感覺.

1900/1/1 0:00:00
DAO:當DAO快速發展時 容易面臨哪些問題?_LuckyCoin

6 月 ,DAO 的管理平臺 Dework 完成了 500 萬美元的種子輪融資,由著名加密投資機構 Paradigm 和 Pace Capital 領投;DAO 的薪酬支付系統 Utopia 獲.

1900/1/1 0:00:00
元宇宙:元宇宙熱潮的當下 將如何塑造內容創作者的未來?_BSP

2005年,YouTube出現在了我們的生活中;2016年,TikTok高調誕生;而2022年,是時候迎接元宇宙了。為了緊跟最新的流行趨勢,來自各個行業和領域的內容創作者總是面臨著各種挑戰.

1900/1/1 0:00:00
區塊鏈:區塊鏈+ 金融重塑實體產業發展新動能 佛山南海探索數字經濟地方模板_TEL

6月2日,在“聚智·強鏈”2022區塊鏈賦能數字經濟高峰論壇上,多位國內外數字經濟、區塊鏈等領域的頂尖學者以及行業專家展開“頭腦風暴”,為區塊鏈技術賦能數字經濟建言獻策.

1900/1/1 0:00:00
區塊鏈:達沃斯 Crypto 手記:加密幽靈 在歐洲游蕩_COIN

注:2022 年 5 月 23 日,世界經濟論壇的在瑞士山區度假勝地達沃斯舉辦,因此會議又被稱為達沃斯論壇,此次會議匯聚了 2500 名全球政商精英,其中不乏加密世界的新貴.

1900/1/1 0:00:00
ads