微软发布一项重要安全通报——2794220

大家好,我是 Richard Chen。 微软于12月29日就 Internet Explorer 6、7 和 8 中的一个漏洞发布了安全公告 2794220。截止到目前,微软并没有发现针对该漏洞的广泛利用。攻击者通常会利用电子邮件或者即时消息来诱使用户访问一个恶意网站,从而触发存在于受影响浏览器中的该漏洞。 由于 IE 9 和 IE 10 并不受该漏洞影响,所以用户只要升级浏览器就可以很好的避免该漏洞的危害。 虽然微软正在积极开发一个安全补丁来解决该问题,但是微软仍强烈建议用户采取公告中所述的缓解措施和应急方案。 在 IE 中将 Internet 和局域网的区域安全级别设置为“高”,以阻止 Active x 控件和动态脚本的运行。             该措施将可以阻止针对该漏洞的攻击,但是同时可能会给浏览器的使用带来影响。因此,用户可以讲可信赖的网站加入到IE中受信任站点列表中,以减轻对正常使用的影响。 设置 IE 浏览器在运行动态脚本时进行提醒,或者在 Internet 和局域网区域中禁用动态脚本。             该措施在有效阻止针对该漏洞的攻击的同时,可能会影响浏览器的可用性。因此,用户可以讲可信赖的网站加入到IE中受信任站点列表中,以减轻对正常使用的影响。 部署 Enhanced Mitigation Experience Toolkit (EMET) 工具。             该工具将会提供一些缓解该漏洞威胁的措施,同时这些措施将不会影响浏览器的正常使用。有关 EMET 工具的安装和配置可以参考 KB2458544。 关于此安全通报的其他详细信息,包括变通方法、受影响的系统和常见问题等,请查阅微软安全通报- 2794220。像往常一样,我们建议用户查阅更多信息并尽快部署该更新,以确保您的计算机处于安全保护中。   谢谢! Richard Chen 大中华区软件安全项目经理

0

[技术分享-ISA/TMG]怎样在 ISA 或者 TMG 上禁止 IPv6 tunneling

一般来说 IPv6 封装指的是把 IPv6 的数据包封装在 IPv4 的数据包中,涉及到三种协议:6to4, ISATAP, Teredo    具体关于 IPv6 封装的介绍,请参考: http://en.wikipedia.org/wiki/IPv6 http://technet.microsoft.com/en-us/library/bb727021.aspx#EFAA Windows 7 和 Windows 2008 默认会启用网卡的 IPv6 属性,和外部发起 IPv6 连接,这样可能造成安全隐患。 6to4  和  ISATAP 使用的 IPv4 端口为 IP 41, Teredo 使用的 IPv4 端口为 UDP 3544,如果我们需要在 ISA/TMG 防火墙上阻止 IPv6 tunneling, 可以创建如下规则:   1. 创建阻止 IPv6 的访问规则:     2. 定义 6to4 Tunneling 协议:     3. 定义…

1

从过去看未来,2013年安全威胁预测

新年将近,回顾这一年中发生的各种安全事件,我们对明年的安全趋势做了一些我们自己的预测。 预测一:攻击者将越来越从政府的间谍活动中受益。今年政府研制的 Stuxnet 病毒利用漏洞CVE-2010-2568从事系统攻击和情报窃取。该病毒则启发了恶意软件开发者,仅上半年,在被检测到的系统攻击行为中有近85%都是针对漏洞CVE-2010-2568的攻击。政府部门复杂的、专业的漏洞攻击技术也大大增加了普通攻击者使用的攻击技术的复杂性,也为攻击者开发复杂攻击技术提供了捷径。所以2013年,攻击者将会留意政府在网络间谍活动中的技术或者工具,增加自己的攻击能力,间接受益于政府的间谍活动。   预测二:攻击者将会注重通过应用、电影和音乐来安装恶意软件。由于用户有使用免费软件的心理,因此攻击者往往会通过软件注册码生成器来安装木马。同样,因为用户更倾向于免费的电影和音乐,攻击者也会通过免费的电影和音乐来安装恶意软件。今年下载木马——ASX/Wimad 已经在世界上多个地方进入了安全威胁的前十名,在2013年,我们有理由相信攻击者将会继续利用用户的这种心理来传播恶意软件。   预测三:路过式下载攻击和跨站点脚本攻击的比例将会增加。 就近几年的统计来看,路过式下载攻击和跨站点脚本攻击每年都保持着增加的趋势。究其原因,很大一部分是因为越来越多的恶意软件开发工具包,如 Blacole exploit kit 中,都增加了路过式攻击和跨站点脚本攻击。这大大便利了攻击者,降低了利用该攻击技术的技术门槛,因此预测明年这两种攻击的比例将会继续增加。 更过关于路过式下载攻击的信息: What You Should Know About Drive-By Download Attacks     – Part 1 What You Should Know About Drive-By Download Attacks     – Part 2   预测四:软件更新服务日趋完善,漏洞攻击将会变困难。 前面我们预测了明年路过式下载攻击将会增加,但是从统计数据上面我们也看到每年路过式攻击的成功率却在下降,这得益于软件更新服务越来越完善。Adobe、Oracle和其他软件厂商也越来越重视用户产品的更新服务,用户更新软件变得越来越简单。因此很多利用软件旧漏洞的攻击就会变得越来越困难。   预测五:Rootkits 攻击技术将在2013年发生变化。 统一可扩展固件接口(UEFI)和安全启动两项技术将会有效地阻止Rootkits 和其他的启动加载程序攻击。随着这两项技术将在产品中的广发使用,因此 Rootkits 攻击技术将会发生变化,具体有怎样的“表现”,我们拭目以待。 更过关于统一可扩展固件接口(UEFI)和安全启动的信息:Building Windows 8 blog 更多关于 rootkits 信息:微软恶意软件防护中心发布的《threat report…

0

微软安全新闻聚焦-双周刊第二十五期

Biweekly Spotlights ==== 2012. 11 . 24 – 2012. 12 .12  第 25期 ====   微软十二月发布7个安全补丁             2012年12 月 12 日               微软于北京时间12月12日清晨发布7个安全补丁,其中5个为最高级别严重等级,2个为重要等级,共修复 Microsoft Windows、 Internet Explorer (IE)、 Word 和 Windows Server中的12个安全漏洞。请特别优先部署严重等级补丁MS12-077和MS12-079。MS12-077 修复了 Internet Explorer 中三个严重等级的漏洞,其中最严重的可导致远程代码执行,影响所有版本的 IE 浏览器。MS12-079 修复了 Word 中的一个秘密报告的漏洞,可导致远程代码执行。目前尚未发现针对该漏洞的攻击以及受影响的用户。此外,此次微软还修正MS12-043、MS12-050、MS12-057、MS12-059、MS12-060五个安全补丁和安全通报 2755801、安全通报 2749655两个安全通报,其中修正的安全通报 2755801为 IE 10 中 Adobe Flash Player 的漏洞提供累积更新,用户不必预先安装之前的更新。详见微软应急响应中心(MSRC)文章。             阅读更多信息: It’s That Time of Year,…

0

20121212,微软12月12日发布7个安全补丁

大家好,我是 Richard Chen。   微软于北京时间12月12日清晨发布7个安全补丁,其中5个为最高级别严重等级,2个为重要等级,共修复 Microsoft Windows、 Internet Explorer (IE)、 Word 和 Windows Server中的12个安全漏洞。请特别优先部署严重等级补丁 MS12-077 和 MS12-079。MS12-077 修复了 Internet Explorer 中三个严重等级的漏洞,最严重的可导致远程代码执行,影响所有版本的 IE。MS12-079 修复了 Word 中的一个秘密报告的漏洞,可导致远程代码执行。目前尚未发现针对该漏洞的攻击以及受影响的用户。       此外,此次微软还修正 MS12-043、MS12-050、MS12-057、MS12-059、MS12-060 五个安全补丁和安全通报 2755801、安全通报 2749655 两个安全通报,其中修正的安全通报 2755801修复了 IE 10 中 Adobe Flash Player 的漏洞,该更新是一个累积更新,用户不必预先安装之前的更新。     下表概述了本月的安全公告(按严重等级和公告 ID 排序):      公告 ID 公告标题和摘要 最高严重等级和漏洞影响 重新启动要求 受影响的软件 MS12-077 Internet Explorer 的累积性安全更新 (2761465)   此安全更新可解决 Internet…

0

微软安全新闻聚焦-双周刊第二十四期

Biweekly Spotlights ==== 2012. 11 . 8 – 2012. 11 .22  第 24 期 ==== 微软 2013 安全开发大会将开放注册 2012 年 10 月 31 日 微软安全开发大会 Security Development Conference (SDC) 诞生于微软可信计算(Trustworthy Computing)成立十周年之际。SDC 致力于汇集各行业的顶尖安全人士,交流基于安全软件开发的最新实践经验,并共同探讨在如今技术日新月异高速发展的背景下,帮助企业和组织降低安全风险的安全开发技术。在华盛顿召开的首届安全年会取得了成功,得到业界的好评。第二届安全开发年会将于2013年5月14和15日在旧金山召开。本次年会将围绕四大主题展开:安全数据工程、高级安全数据工程、安全开发周期与数据安全、商业风险与数据安全。请关注 SDC 主页了解注册详情,“电话咨询”将于本月9日开放。 阅读更多信息:Microsoft Holds Security Development Conference 微软更新安全通报2755801 2012 年 11 月 6 日 微软于本月6日更新了安全通报2755801,为 Windows 8、Windows Server 2012 和 Windows RT 平台…

0

[技术分享]如何配置Forefront UAG的SSTP VPN

UAG 作为微软的一款的网关类产品,致力于提供内部资源的发布和为外部用户提供内部访问。在众多的向内部访问的方式中,我们今天介绍一种 SSTP VPN。 SSTP (Secure Socket Tunneling Protocol )VPN 可以让 PPP 和 L2TP 的流量封装在 SSL 3.0的通道中进行传输,这样既保证了数据的安全性又可以使使用 TCP 的443端口通过大多数的防火墙。在复杂的网络环境中,客户端甚至可以使用 Web 代理来进行 SSTP VPN 的访问。 配置 SSTP VPN,我们需要客户端使用 Windows Vista 及之后的 Windows 版本。下面就通过例子来看一下 SSTP VPN 的配置过程: UAG 服务器部分: 1. 在 UAG 控制台中,首先建立一个 HTTPs 的 trunk(干道)。在本例中,这个 trunk 叫做 httpsportal2.iverxue.com,公网地址是1.1.1.4 2. 在上方的菜单点击 Admin->Remote Network Access->SSL Network Tunneling (SSTP)…

0

20121114,微软11月14日发布6个安全补丁

大家好,我是 Richard Chen。 微软于北京时间11月14日清晨发布6个安全补丁,其中4个为最高级别严重等级,1个为重要等级,1个为中等等级,共修复 Microsoft Windows Shell, Windows Kernel, Internet Explorer, Internet Information Services(IIS), .NET Framework 和 Excel 中的19个安全漏洞。请特别优先部署严重等级补丁 MS12-071 和 MS12-075。MS12-071 修复了 Internet Explorer 中三个秘密报告的漏洞,成功利用该漏洞可使用当前用户的权限执行代码,IE10不受这些漏洞的影响。MS12-075 修复了 WIndows 中三个秘密报告的漏洞,最严重的可导致远程代码执行。目前尚未发现针对以上漏洞的攻击。 此外,本月微软重新发布了 MS12-046 和 MS12-062。重新发布的 MS12-046,为 Microsoft office 2003 SP3提供安全通报2749655中描述的数字证书相关更新。重新发布的 MS12-062,为 System Center Configuration Manager 2007提供 KB2721642中描述的更新;已经部署英文版 KB2721642的用户不受此次更新影响。 下表概述了本月的安全公告(按严重等级和公告 ID 排序): 公告 ID 公告标题和摘要 最高严重等级和漏洞影响 重新启动要求 受影响的软件…

0

20121109,微软十一月安全补丁提前通知

大家好,我是 Richard Chen。 在此提前通知各位:微软计划于北京时间11月14日清晨发布6个安全补丁。其中,4个严重等级补丁共修复 Microsoft Windows, Internet Explorer 和 the .NET Framework 中的19个安全漏洞;1个重要等级补丁修复 Microsoft Office 中的4个漏洞;1个中等级别补丁修复 Microsoft Windows 中的2个漏洞。 补丁的最高严重等级详见下图: Bulletin ID Maximum Severity Rating and Vulnerability Impact Restart Requirement Affected Software Bulletin 1 Critical Remote Code Execution Restart required Microsoft Windows, Internet Explorer Bulletin 2 Critical Remote Code Execution Restart required Microsoft Windows Bulletin…

0

微软安全新闻聚焦-双周刊第二十三期

                                                   Biweekly Spotlights                                ==== 2012. 10 . 18 – 2012. 11 . 5 第 23 期 ==== 微软发布安全研究报告第13卷 2012年10 月8 日 微软于本月8号发布微软安全研究报告第13卷(.pdf)。自六年前第一卷安全研究报告发布以来,微软始终以帮助用户更全面地了解当今安全威胁形势为目标,进而帮助用户更好地制定风险管理决策。该报告广泛调查了全球105个国家或地区,通过对超过6亿计算机系统、2.8亿 Hotmail 账户和数十亿的 Bing 扫描网页的深入统计分析,向用户提供了软件漏洞利用、恶意软件和潜在有害软件的威胁形势。在今年的报告中,一个值得注意的趋势是,利用软件激活码生成器来传播的恶意软件数量激增。作为该类恶意软件的代表,Win32/Keygen仅2012年上半年,被侦测到接近5百万次。在98%的被检测地区中,Keygen 威胁都位居前十。欢迎有兴趣的读者下载该报告,以了解最新的安全威胁形势。     微软发布关于Rootkits的威胁报告 2012年10 月19 日 本周微软恶意软件防护中心(MMPC)发布了针对Rootkit攻击的威胁报告。Rootkit通常与恶意软件一起安装,其目的在于隐藏恶意软件,使得它们尽可能长时间地不被检测出来。其隐藏自身的手法包含伪造系统CPU 或内存的使用情况、将自己从系统的进程列表中剔除等,从而避免引起用户怀疑,所以检测起来比较困难。然而运行Rootkit时候会增加系统的不稳定性,可能会出现蓝屏或重启等错误。十年前 Rootkit 被认为只在理论上存在,但这些年以来包含Rootkit的恶意软件已是十分常见,如 Win32/Alureon、Win32/Rustock、Win32/Sinowal和 Win32/Cutwail。本报告主要介绍了Rootkit 的攻击原理,有助于用户了解并防护该威胁。   微软打击 Nitol 僵尸网络战果一览 2012年10 月22 日 上个月,微软在代号 “Operation b70” 行动的研究发现:刚刚入手的全新计算机也可能已经有恶意软件入住!这是因为预装了有安全隐患的盗版 Windows 系统,这种现象在中国消费者中比较明显。据统计,中国每20台计算机中就有4台感染恶意软件,而且其中一台感染的就是 Nitol。Nitol…

10