作者MACD (MACD)
看板DigiCurrency
標題[新聞] 微軟 Office 有零時差漏洞!可駭入 Meta
時間Mon Jun 6 08:29:45 2022
新聞來源連結:
https://reurl.cc/ErYOrR
新聞本文:
安全團隊 CertiK 昨(2)日公布一個可能危及加密貨幣資產安全的漏洞,報告稱微軟 Offi
ce 產品中有名為「 Follina 」的零時差漏洞(CVE-2022-30190),攻擊者可以透過微軟支
援診斷工具(MS Support Diagnostic Tool)取得高系統權限,可用來執行PowerShell 惡意
程式 。
報告甚至提到,該漏洞甚至能允許攻擊者繞過密碼等一系列加密保護,透過這種方式,駭客
能監看受害者電腦的的許多系統資訊與個人隱私。
發現的研究人員Nao_sec稱,自己是在研究微軟Windows遠端程式碼執行(RCE)漏洞CVE-202
1-40444時意外發現的新漏洞,並且在 VirusTotal 上發現一個惡意Word檔案,該檔案包含外
部超連結會自動載入一個HTML檔案,再使用指令「ms-msdt」MSProtocol URI scheme,載入
一段惡意程式碼使 PowerShell執行。
CertiK 為此警告,所有在電腦與線上儲存數位資產的投資者都該格外注意,並舉例以 Meta
Mask為例:只要使用 Follina,駭客可以輕鬆看到受害者的 MetaMask 瀏覽器擴展相關資訊
,使用裡面儲存的金鑰,快速地將資產轉移到另一個錢包。
忽略使用硬體錢包等等是諸如此類零時差漏洞,導致加密貨幣被偷取的主要原因。
-CertiK
而當前問題已回報給微軟官方,已成功進行漏洞立案,官方尚在進行修補程式的製作。雖然
沒有表明受害系統資訊以及 Office 相關版本資訊,動區仍提醒讀者,在修補完成前,請注
意相關資訊,減少使用裝載有 Office 系統的電腦進行交易,以免財產發生損失。
評論:
各位有裝office的電腦都危險喔,幸好我都用退休iphone重置後只裝錢包來操作合約
----
Sent from
BePTT on my iPhone 11
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.216.133.101 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/DigiCurrency/M.1654475387.A.705.html
1F:推 doom3: MetaMask不是還要輸入密碼才能用 沒密碼也能偷看密鑰? 06/06 09:08
2F:推 ga013077: 密鑰是存在你的電腦裡面,打密碼只是介面上的把關 06/06 09:24
3F:推 fr303388: 那密碼只是防旁人不防駭客程式的 06/06 09:24
4F:推 ybite: 簡單查了一下 MetaMask 是把私鑰透過套件進行AES-GCM對稱 06/06 09:28
5F:→ ybite: 加密後存在本機檔案 如果密碼也同時洩漏或被猜出就沒了 06/06 09:29
6F:→ ybite: 照理說有保護 但密碼還是偏容易發現 06/06 09:29
7F:→ ybite: 主要是私鑰加密檔取得後可以不受限制透過暴力破解密碼 06/06 09:33
8F:推 s850711s: 沒差 輸到沒錢了 被盜也是空的QQ 06/06 09:41
9F:推 shawn1116: 好奇問,這種程式防毒有辦法擋嗎? 06/06 09:44
10F:→ ybite: 理論上可以 但前提是防毒軟體更新趕得上漏洞開發速度 06/06 10:19
11F:→ ybite: 這個漏洞只要有裝Office 預覽或開啟docx 就能觸發 無關巨集 06/06 10:20
12F:→ ybite: 但攻擊模式很顯然可以被偵測 就看會不會有變種 06/06 10:21
13F:推 shawn1116: 謝謝 所以還是要有防毒或冷錢包。我有些小幣冷錢包不 06/06 10:28
14F:→ shawn1116: 支援蠻困擾的,有什麼好方法嗎@@a 06/06 10:28
15F:→ kckckckc: 可以跑shell 等於取得完全控制權了吧囧 06/06 10:40
16F:推 brucetu: 只用退休iphone最安全 06/06 12:08
17F:→ lunnul: 請問用退休iPhone (Wallet app)連結電腦website (defi的 06/06 12:37
18F:→ lunnul: portal)後 不用時disconnect那還會有這類風險嗎? 06/06 12:37
19F:→ cp296633: 乖乖用硬體錢包連metamask唄 還沒遇過不支援的幣 06/06 12:45
20F:→ OrzOGC: 還好我用linux 06/06 12:49
21F:推 shawn1116: 謝cp大 剛查了一下ledger可存小幣 但不支援質押QQ 06/06 13:10
22F:→ shawn1116: 我有Acala Astar等小幣 目前都只能放熱錢包 Q.Q 06/06 13:11
23F:推 ripple0129: MacOS Linux估計都能降低風險,多數仍然針對windows 06/06 13:27
24F:→ cp296633: 質押LIDO可以啊 METAMASK能做的DEFI 硬體錢包都可以 06/06 13:29
25F:→ cp296633: metamask不支援的幣/鏈 硬體錢包也可以 06/06 13:29
26F:→ cp296633: 像sol狐狸不支援 裝個phantom錢包chrome擴充也能玩defi 06/06 13:31
27F:推 envogue: 我只有挨打幣在熱錢包因為LEDGER不支援.不過那個也沒人偷 06/06 15:50
28F:推 tseng1978: 這不是把msdt 關掉就沒事了嗎 ... 06/07 02:29
29F:→ tseng1978: 至少MS官方是這麼建議的 06/07 02:29
30F:推 xluds24805: 舊iphone有無法靠軟體更新修復的晶片漏洞,你確定有比 06/07 05:14
31F:→ xluds24805: 較安全嗎ww 06/07 05:14
32F:推 goodyW: 漏洞只到A11而已,而且這個只是用來跳過SecureROM而已 06/07 11:03
33F:→ goodyW: 重點是沒辦法遠端,也就是當他搞這個,你人也被抓住了 06/07 11:04
34F:推 doranako: 改用macbook 06/07 19:33