近日,微軟Office中一個被稱為"Follina"的零日漏洞被發現。攻擊者可使用微軟的微軟支持診斷工具,從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。
微軟在其公告中寫道:"當從Word等調用應用程序使用URL協議調用MSDT時,存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以使用調用應用程序的權限運行任意代碼。然后攻擊者可以安裝程序、查看、更改或刪除數據,或者在用戶權限允許的上下文中創建新帳戶"。
CertiK:Steadefi漏洞攻擊相關EOA地址已將100枚ETH轉至Tornado Cash:金色財經報道,據CertiK官方推特發布消息稱,EOA地址(0xe10d)已將100枚ETH(約合18.5萬美元)轉至Tornado Cash。該EOA地址與8月7日Steadefi漏洞攻擊事件有關,目前其中仍有524枚ETH(約合96.9萬美元)。[2023/8/12 16:22:25]
由于該漏洞允許攻擊者繞過密碼保護,從而遠程安裝文件,或者查看、更改及刪除數據,因此也被戲稱為“零點擊遠程代碼執行技術”。總的來說,攻擊者可以在運行用戶權限允許的范圍內,通過發送一個微軟Word文件,在你打開文件或在"預覽"中查看文件的瞬間執行惡意代碼,并在目標系統上遠程執行惡意代碼。
CertiK:NFT紙牌游戲Z-ERA出現漏洞損失28.5萬美元:金色財經報道,區塊鏈安全公司CertiK報告稱,基于NFT的紙牌游戲Z-ERA出現漏洞損失285,000美元。CertiK發現了一個涉及由外部帳戶部署的未經驗證的合約的漏洞。攻擊者獲得了180萬個ZERA代幣并出售,導致ZERA代幣價格暴跌99%。
此外,1178.5枚BNB被轉移到Tornado Cash。被盜代幣約占總供應量的27%。盡管事件發生在游戲發布后不久,但Z-ERA對這次襲擊事件保持沉默。[2023/6/22 21:53:26]
通過這種方式,黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊,提升黑客在受害者系統里的權限,并獲得對本地系統和運行進程的額外訪問,包括目標用戶的互聯網瀏覽器和瀏覽器插件,如Metamask-一個用于存儲加密資金的軟件錢包。
Olympus DAO計劃將5000萬美元流動性遷移至Balancer Protocol:1月19日消息,去中心化金融儲備協議Olympus DAO已宣布與Balancer Protocol達成合作,根據治理提案顯示,Olympus DAO將向Balancer Protocol協議部署5000萬美元的流動性。目前Balancer Protocol鎖倉量約為32.9億美元,在DeFiLlama的DEXe排行榜上位列第五。[2022/1/19 8:59:04]
這樣的漏洞表明了用戶使用硬件錢包離線存儲私鑰的重要性,因為它可將私鑰與被攻擊的系統分開。忽視使用硬件錢包,是零日漏洞導致加密貨幣資金被盜的主要原因之一。
這種類型的漏洞在Web3世界中可以說是非常“流行”,每個月可導致數百萬美元的損失。類似的攻擊已經影響到Web3社區,而這個漏洞比"0-click"漏洞更嚴重。例如,發生在2022年3月22日的Arthur_0x黑客攻擊,導致超過160萬美元的NFT和加密貨幣損失。它使用了有針對性的網絡釣魚攻擊技術,通過電子郵件發送了看起來像谷歌文檔的鏈接,將惡意代碼注入受害者的系統。另一個使用了有針對性的網絡釣魚攻擊的例子發生在2022年2月19日,當交易者打開他們認為是OpenSea官方的關于遷移的電子郵件時,價值170萬美元的ETH被盜走,導致惡意軟件通過隱藏在偽裝鏈接中的惡意合同被放入他們的錢包。
網絡釣魚攻擊是攻擊者可獲得高價值,且操作相對簡單的一種攻擊方法。隨著Web3用戶能夠即時直接地進行資產交易,網絡釣魚活動也隨之增加。特別是Telegram和Discord相關的攻擊,惡意鏈接每天都會出現在流行的服務器上。而隨著Web3的發展,這些類型的攻擊將繼續增長,因為它成本低且有效性強,攻擊者能夠適應各種防御手段,以繼續進行攻擊。
如果你目前正在使用微軟的Office,CertiK安全團隊建議按照以下鏈接的步驟,正確保護你的設備和個人信息。
可以防止攻擊的一些方法步驟:
遵循最小權限原則,只給Windows用戶分配完成其職責所需的權限。反過來,這也限制了攻擊者在系統被破壞時繼承的權限。
在使用微軟衛士的ASR時,在阻止模式下激活"阻止所有Office應用程序創建子進程"規則。
在審計模式下運行該規則,并監測結果,以確保對最終用戶沒有不利影響。
刪除有關ms-msdt的文件類型,防止惡意軟件運行。
Tags:CERQUOERTcertikInfluencers of the MetaverseQUOTHExperty Wisdom Tokencertik幣價
現今是2022年,元治理活動正迅速成為加密貨幣生態系統的主流;各個DAO也已經意識到,它們可以通過利用其他DAO的技術和資源,達到超強的增長和價值創造的最佳戰略.
1900/1/1 0:00:00據官方消息,USDD3CRV池和FRAXBPUSDD池已正式登陸Votium平臺。與此同時,USDD在Votium平臺第一期激勵活動也已開啟,總計提供66,000USDD獎勵.
1900/1/1 0:00:00前言 六月以來,安全事件仍層出不窮,即使幣價下跌,攻擊者卻沒有停下攻擊的腳步。據知道創宇區塊鏈安全實驗室數據顯示:該月發生的安全事件超46起,其中跑路騙局變得更加嚴重,而跨鏈橋HarmonyBr.
1900/1/1 0:00:00KemalElMoujahid正式加入ChainlinkLabs,他此前成功擴展了全球第一的機器學習平臺。ChainlinkLabs專注為去中心化預言機開發全局標準,推動區塊鏈實現主流應用.
1900/1/1 0:00:00據官方消息,交易平臺PrimeXBT現已支持TRC20-USDT和TRC20-USDC。 DeversiFi和Loopring組建L2 Squared聯盟:金色財經報道,去中心化交易所Dever.
1900/1/1 0:00:00前言 游戲行業在過去20年里飛速發展,2022年全球游戲市場收入規模預計達2000億美元,同比2021年增長5.4%,全球玩家規模也預計突破30億人,達歷史新高.
1900/1/1 0:00:00