比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

CertiK:微軟高危零日漏洞可執行任意代碼,請捂好你的加密錢包-ODAILY_QUO

Author:

Time:1900/1/1 0:00:00

近日,微軟Office中一個被稱為"Follina"的零日漏洞被發現。攻擊者可使用微軟的微軟支持診斷工具,從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。

微軟在其公告中寫道:"當從Word等調用應用程序使用URL協議調用MSDT時,存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以使用調用應用程序的權限運行任意代碼。然后攻擊者可以安裝程序、查看、更改或刪除數據,或者在用戶權限允許的上下文中創建新帳戶"。

CertiK:Steadefi漏洞攻擊相關EOA地址已將100枚ETH轉至Tornado Cash:金色財經報道,據CertiK官方推特發布消息稱,EOA地址(0xe10d)已將100枚ETH(約合18.5萬美元)轉至Tornado Cash。該EOA地址與8月7日Steadefi漏洞攻擊事件有關,目前其中仍有524枚ETH(約合96.9萬美元)。[2023/8/12 16:22:25]

由于該漏洞允許攻擊者繞過密碼保護,從而遠程安裝文件,或者查看、更改及刪除數據,因此也被戲稱為“零點擊遠程代碼執行技術”。總的來說,攻擊者可以在運行用戶權限允許的范圍內,通過發送一個微軟Word文件,在你打開文件或在"預覽"中查看文件的瞬間執行惡意代碼,并在目標系統上遠程執行惡意代碼。

愛奇藝將發售首批潮玩數字藏品寄生熊貓Producer C:金色財經消息,愛奇藝宣布將發布原創虛擬偶像IP寄生熊貓Producer C的數字藏品盲盒,首批發售產品為6只熊貓頭,共計8888份。這是愛奇藝繼推出首個《風起洛陽》國風數字藏品后,又著手打造的第一批潮玩數字藏品,再次探索元宇宙世界。據悉,首批藏品將于4月21-24日正式上線發售。(網易)[2022/4/21 14:38:11]

通過這種方式,黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊,提升黑客在受害者系統里的權限,并獲得對本地系統和運行進程的額外訪問,包括目標用戶的互聯網瀏覽器和瀏覽器插件,如Metamask-一個用于存儲加密資金的軟件錢包。

Bitget被知名安全評級機構CER收錄:據官方消息,Bitget目前已被國際知名安全評級機構CER的收錄上線。據悉,目前CER已開啟交易所安全評比,該評比將從18個緯度進行全面測評,并于12天后結束,目前Bitget排名全球第八。

據介紹,CER作為知名收錄平臺CMC及Coingecko的合作伙伴,其測評結果也將作為CMC及Coingecko的收錄標準。

Bitget始終把保障用戶資產及交易安全放在首位,除了投入大量的安全風控資金,Bitget還是一家SSL安全指標12項全部達到A+的合約交易所。另據透露,Bitget即將上線客戶資產驗證工具,客戶將可以第一時間驗證自己資金的安全性。[2020/8/14]

這樣的漏洞表明了用戶使用硬件錢包離線存儲私鑰的重要性,因為它可將私鑰與被攻擊的系統分開。忽視使用硬件錢包,是零日漏洞導致加密貨幣資金被盜的主要原因之一。

這種類型的漏洞在Web3世界中可以說是非常“流行”,每個月可導致數百萬美元的損失。類似的攻擊已經影響到Web3社區,而這個漏洞比"0-click"漏洞更嚴重。例如,發生在2022年3月22日的Arthur_0x黑客攻擊,導致超過160萬美元的NFT和加密貨幣損失。它使用了有針對性的網絡釣魚攻擊技術,通過電子郵件發送了看起來像谷歌文檔的鏈接,將惡意代碼注入受害者的系統。另一個使用了有針對性的網絡釣魚攻擊的例子發生在2022年2月19日,當交易者打開他們認為是OpenSea官方的關于遷移的電子郵件時,價值170萬美元的ETH被盜走,導致惡意軟件通過隱藏在偽裝鏈接中的惡意合同被放入他們的錢包。

網絡釣魚攻擊是攻擊者可獲得高價值,且操作相對簡單的一種攻擊方法。隨著Web3用戶能夠即時直接地進行資產交易,網絡釣魚活動也隨之增加。特別是Telegram和Discord相關的攻擊,惡意鏈接每天都會出現在流行的服務器上。而隨著Web3的發展,這些類型的攻擊將繼續增長,因為它成本低且有效性強,攻擊者能夠適應各種防御手段,以繼續進行攻擊。

如果你目前正在使用微軟的Office,CertiK安全團隊建議按照以下鏈接的步驟,正確保護你的設備和個人信息。

可以防止攻擊的一些方法步驟:

遵循最小權限原則,只給Windows用戶分配完成其職責所需的權限。反過來,這也限制了攻擊者在系統被破壞時繼承的權限。

在使用微軟衛士的ASR時,在阻止模式下激活"阻止所有Office應用程序創建子進程"規則。

在審計模式下運行該規則,并監測結果,以確保對最終用戶沒有不利影響。

刪除有關ms-msdt的文件類型,防止惡意軟件運行。

Tags:QUOCERBITBITGQUOTHCoinlancerbitpie蘋果官網下載BITGET中文名

比特幣行情
JustLend上USDD市場的存款挖礦獎勵現已正式升級為USDD-ODAILY_JUS

據官方消息,JustLend上USDD市場的存款挖礦獎勵現已正式升級為USDD。 波場TRON網絡上的首個官方借貸項目JustLend?總存款規模已突破7500萬美元:據官方最新消息,波場TRO.

1900/1/1 0:00:00
Huobi Incubator投資負責人Zhe Li加入2022波場黑客松大賽第二季評審團-ODAILY_OBI

據官方消息,來自HuobiIncubator的投資負責人ZheLi加入2022波場黑客松大賽第二季評審團。HuobiIncubator旨在助力下一代區塊鏈企業家和技術團隊高速發展.

1900/1/1 0:00:00
又一起網絡釣魚攻擊事件:Uniswap被盜810萬美元-ODAILY_Uniswap

2022年7月12日,UniswapV3平臺遭受了網絡釣魚攻擊。據Tokenview數據顯示,攻擊者已盜取7,573枚ETH,價值約810萬美元.

1900/1/1 0:00:00
加密香港土地NFT一小時售罄,元宇宙數字孿生城市已來-ODAILY_加密貨幣

Web3.0帶來的變化把互聯網帶入了一個全新的發展水平,而區塊鏈技術的發展則為Web3.0賦予了更高的期待.

1900/1/1 0:00:00
波場TRON主網上線4年收獲1億用戶-ODAILY_tron

近期的加密行業頗有點“屋漏偏逢連夜雨”的味道。在Terra崩盤、以太坊持續暴跌以及機構集中清算等的多重打擊下,市場悲觀情緒快速蔓延,熊市的聲音亦開始此起彼伏.

1900/1/1 0:00:00
JustLend與TRON DAO Reserve正式達成戰略合作-ODAILY_USDD

為拓展波場DeFi的深度延展性,促進波場TRON生態健康和可持續發展,JustLend與TRONDAOReserve正式達成戰略合作關系.

1900/1/1 0:00:00
ads