微軟高危零日漏洞 可執行任意代碼 捂好你的加密錢包_WOR

近日，微軟Office中一個被稱為 "Follina "的零日漏洞（編號CVE-2022-30190）被發現。攻擊者可使用微軟的微軟支持診斷工具（MSDT），從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。

微軟在其公告中寫道：" 當從 Word 等調用應用程序使用 URL 協議調用 MSDT 時，存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以使用調用應用程序的權限運行任意代碼。然后攻擊者可以安裝程序、查看、更改或刪除數據，或者在用戶權限允許的上下文中創建新帳戶 "。

Web3游戲Abyss World與微軟投資的SpaceandTime合作:4月20日消息，Abyss World開發商Metagame Industries宣布與微軟投資的領先去中心化數據倉儲平臺Spaceand Time達成合作，將共同創建了Web3游戲的新標準。通過與SpaceandTime合作，Abyss World旨在為玩家提供更去中心化且高效的游戲體驗，樹立新的Web3游戲典范。借助分布式和安全的數據存儲方式，游戲將擁有無限的發展潛力，并為玩家帶來更加透明、可信賴的游戲體驗。此外，Abyss World運用人工智能推動游戲各個方面的創新，從NPC行為到游戲的BvB（BotvsBot）環節——深淵角斗場。為確保游戲結果的公平性，Spaceand Time獨特的架構允許將與游戲中英雄角色相關的元數據的AI算法分布式存儲，實現游戲核心的完全去中心化，確保AI模型的可驗證性，并讓英雄角色不斷成長。

據了解，Abyss World將在近期與Magic Eden和Sui上領先的NFT平臺舉行一輪NFT免費鑄造活動，持有者可通過直播觀看AI驅動的BvB競技場（AI對戰）并對比賽結果進行競猜以獲取獎勵。[2023/4/20 14:15:45]

由于該漏洞允許攻擊者繞過密碼保護，從而遠程安裝文件，或者查看、更改及刪除數據，因此也被戲稱為“零點擊遠程代碼執行技術”。總的來說，攻擊者可以在運行用戶權限允許的范圍內，通過發送一個微軟Word文件，在你打開文件或在 "預覽 "中查看文件的瞬間執行惡意代碼，并在目標系統上遠程執行惡意代碼。

微軟或將推出ChatGPT技術AI搜索:1月4日消息，知情人士稱，微軟公司正計劃推出新版必應搜索引擎，使用爆紅聊天機器人ChatGPT背后的人工智能(AI)技術。

?兩位知情人士透露，微軟的新版必應搜索引擎將使用ChatGPT背后的AI技術來回答一些搜索查詢，而不僅僅是顯示一系列鏈接。微軟這項新功能可能在3月底前推出。

?2019年，微軟向OpenAI投資了10億美元，兩家公司已經建立了多年的合作伙伴關系，在微軟的Azure云計算服務上開發AI超級計算技術。（鳳凰網科技）[2023/1/4 9:51:33]

通過這種方式，黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊，提升黑客在受害者系統里的權限，并獲得對本地系統和運行進程的額外訪問，包括目標用戶的互聯網瀏覽器和瀏覽器插件，如Metamask - 一個用于存儲加密資金的軟件錢包。

微軟前工程師實施詐騙利用比特幣混幣器隱藏應稅收入被判刑:11月10日消息，微軟前工程師Volodymyr Kvashuk詐騙微軟1000多萬美元，并使用比特幣混幣器隱藏應稅收入并偽造納稅申報單，已被判9年有期徒刑。而據美國國稅局消息，這是該國首個涉及稅收的比特幣案件。此前消息，Volodymyr Kvashuk被指控參與盜取1000萬美元數字貨幣已于2019年7月被逮捕。（福布斯）[2020/11/10 12:09:10]

這樣的漏洞表明了用戶使用硬件錢包（如Ledger、Trezor等）離線存儲私鑰的重要性，因為它可將私鑰與被攻擊的系統分開。忽視使用硬件錢包，是零日漏洞導致加密貨幣資金被盜的主要原因之一。

這種類型的漏洞在Web3世界中可以說是非常“流行”，每個月可導致數百萬美元的損失。類似的攻擊已經影響到Web3社區，而這個漏洞比 "0-click "（零點擊攻擊）漏洞更嚴重。例如，發生在2022年3月22日的Arthur_0x黑客攻擊，導致超過160萬美元的NFT和加密貨幣損失。它使用了有針對性的網絡釣魚攻擊技術，通過電子郵件發送了看起來像谷歌文檔的鏈接（但實際上是微軟Word文件），將惡意代碼注入受害者的系統。另一個使用了有針對性的網絡釣魚攻擊的例子發生在2022年2月19日，當交易者打開他們認為是OpenSea官方的關于遷移的電子郵件時，價值170萬美元的ETH被盜走，導致惡意軟件通過隱藏在偽裝鏈接中的惡意合同被放入他們的錢包。

網絡釣魚攻擊是攻擊者可獲得高價值，且操作相對簡單的一種攻擊方法。隨著Web3用戶能夠即時直接地進行資產交易，網絡釣魚活動也隨之增加。特別是Telegram和Discord相關的攻擊，惡意鏈接每天都會出現在流行的服務器上。而隨著Web3的發展，這些類型的攻擊將繼續增長，因為它成本低且有效性強，攻擊者能夠適應各種防御手段，以繼續進行攻擊。

如果你目前正在使用微軟的Office，CertiK安全團隊建議按照以下鏈接的步驟，正確保護你的設備和個人信息。（來源微軟支持診斷工具漏洞的指導意見Guidance for Microsoft Support Diagnostic Tool Vulnerability）?

可以防止攻擊的一些方法步驟：

遵循最小權限原則，只給Windows用戶分配完成其職責所需的權限。反過來，這也限制了攻擊者在系統被破壞時繼承的權限。?

在使用微軟衛士的ASR時，在阻止模式下激活 "阻止所有Office應用程序創建子進程 "規則。

在審計模式下運行該規則，并監測結果，以確保對最終用戶沒有不利影響。

刪除有關ms-msdt的文件類型，防止惡意軟件運行。

來源：CertiK中文社區

Tags：WORWEB3WEBABYSSArkWorldweb3游戲行業Web AIThe Abyss

NEAR