[新聞] 微軟 Office 有零時差漏洞!可駭入 Meta

作者: MACD (MACD)   2022-06-06 08:29:45
新聞來源連結:
https://reurl.cc/ErYOrR
新聞本文:
安全團隊 CertiK 昨(2)日公布一個可能危及加密貨幣資產安全的漏洞,報告稱微軟 Offi
ce 產品中有名為「 Follina 」的零時差漏洞(CVE-2022-30190),攻擊者可以透過微軟支
援診斷工具(MS Support Diagnostic Tool)取得高系統權限,可用來執行PowerShell 惡意
程式 。
報告甚至提到,該漏洞甚至能允許攻擊者繞過密碼等一系列加密保護,透過這種方式,駭客
能監看受害者電腦的的許多系統資訊與個人隱私。
發現的研究人員Nao_sec稱,自己是在研究微軟Windows遠端程式碼執行(RCE)漏洞CVE-202
1-40444時意外發現的新漏洞,並且在 VirusTotal 上發現一個惡意Word檔案,該檔案包含外
部超連結會自動載入一個HTML檔案,再使用指令「ms-msdt」MSProtocol URI scheme,載入
一段惡意程式碼使 PowerShell執行。
CertiK 為此警告,所有在電腦與線上儲存數位資產的投資者都該格外注意,並舉例以 Meta
Mask為例:只要使用 Follina,駭客可以輕鬆看到受害者的 MetaMask 瀏覽器擴展相關資訊
,使用裡面儲存的金鑰,快速地將資產轉移到另一個錢包。
忽略使用硬體錢包等等是諸如此類零時差漏洞,導致加密貨幣被偷取的主要原因。
-CertiK
而當前問題已回報給微軟官方,已成功進行漏洞立案,官方尚在進行修補程式的製作。雖然
沒有表明受害系統資訊以及 Office 相關版本資訊,動區仍提醒讀者,在修補完成前,請注
意相關資訊,減少使用裝載有 Office 系統的電腦進行交易,以免財產發生損失。
評論:
各位有裝office的電腦都危險喔,幸好我都用退休iphone重置後只裝錢包來操作合約
作者: doom3 (ⓓⓞⓞⓜ③ )   2022-06-06 09:08:00
MetaMask不是還要輸入密碼才能用 沒密碼也能偷看密鑰?
作者: ga013077 (Daky)   2022-06-06 09:24:00
密鑰是存在你的電腦裡面,打密碼只是介面上的把關
作者: fr303388 (雪雪)   2022-06-06 09:24:00
那密碼只是防旁人不防駭客程式的
作者: ybite (小犬/小B)   2022-06-06 09:28:00
簡單查了一下 MetaMask 是把私鑰透過套件進行AES-GCM對稱加密後存在本機檔案 如果密碼也同時洩漏或被猜出就沒了照理說有保護 但密碼還是偏容易發現主要是私鑰加密檔取得後可以不受限制透過暴力破解密碼
作者: s850711s (QQ彥)   2022-06-06 09:41:00
沒差 輸到沒錢了 被盜也是空的QQ
作者: shawn1116 (大同)   2022-06-06 09:44:00
好奇問,這種程式防毒有辦法擋嗎?
作者: ybite (小犬/小B)   2022-06-06 10:19:00
理論上可以 但前提是防毒軟體更新趕得上漏洞開發速度這個漏洞只要有裝Office 預覽或開啟docx 就能觸發 無關巨集但攻擊模式很顯然可以被偵測 就看會不會有變種
作者: shawn1116 (大同)   2022-06-06 10:28:00
謝謝 所以還是要有防毒或冷錢包。我有些小幣冷錢包不支援蠻困擾的,有什麼好方法嗎@@a
作者: kckckckc (KC)   2022-06-06 10:40:00
可以跑shell 等於取得完全控制權了吧囧
作者: brucetu (sec)   2022-06-06 12:08:00
只用退休iphone最安全
作者: lunnul (<lo>)   2022-06-06 12:37:00
請問用退休iPhone (Wallet app)連結電腦website (defi的portal)後 不用時disconnect那還會有這類風險嗎?
作者: cp296633 (Joey)   2022-06-06 12:45:00
乖乖用硬體錢包連metamask唄 還沒遇過不支援的幣
作者: OrzOGC (洞八達人.拖哨天王)   2022-06-06 12:49:00
還好我用linux
作者: shawn1116 (大同)   2022-06-06 13:10:00
謝cp大 剛查了一下ledger可存小幣 但不支援質押QQ我有Acala Astar等小幣 目前都只能放熱錢包 Q.Q
作者: ripple0129 (perry tsai)   2022-06-06 13:27:00
MacOS Linux估計都能降低風險,多數仍然針對windows
作者: cp296633 (Joey)   2022-06-06 13:29:00
質押LIDO可以啊 METAMASK能做的DEFI 硬體錢包都可以metamask不支援的幣/鏈 硬體錢包也可以像sol狐狸不支援 裝個phantom錢包chrome擴充也能玩defi
作者: envogue (台北貴州-地無3里平)   2022-06-06 15:50:00
我只有挨打幣在熱錢包因為LEDGER不支援.不過那個也沒人偷
作者: tseng1978 (湛藍火羽)   2022-06-07 02:29:00
這不是把msdt 關掉就沒事了嗎 ...至少MS官方是這麼建議的
作者: xluds24805 (狼)   2022-06-07 05:14:00
舊iphone有無法靠軟體更新修復的晶片漏洞,你確定有比較安全嗎ww
作者: goodyW (古迪)   2022-06-07 11:03:00
漏洞只到A11而已,而且這個只是用來跳過SecureROM而已重點是沒辦法遠端,也就是當他搞這個,你人也被抓住了
作者: doranako (真愛無限)   2022-06-07 19:33:00
改用macbook

Links booklink

Contact Us: admin [ a t ] ucptt.com