安全焦点
Windows 11测试者若硬件不符要求,将退回Windows 10
如果你的电脑并不符合 Windows 11硬件规范要求,但已经通过 Windows Insider方式安装 Windows 11测试版,那可能要做好重新安装系统的心理准备,因为微软现在已经开始如当初提醒的一样,要求不合正式版硬件规范的使用者手动重装 Windows 10,这对于没把官方但书阅读完毕,就兴致冲冲在主力电脑安装 Windows 11测试版的使用者恐怕是噩耗。
微软在日前宣布将于 10月 5日正式推出 Windows 11,也意味着 Windows 11离测试版到正式版推出剩下一个月左右,而微软也在日前放宽 Windows 11的硬件要求,从原本强制须具备 TPM 2.0向下到 TPM 1.2,也使更多旧电脑能够升级;不过由于微软现阶段以 Windows Insider提供的 Windows 11测试版对硬件要求并未完全参照正式版本,不符硬件规范的电脑也能安装,但一开始就在但书上面提到,若非符合硬件规范的系统,会在 Windows 11正式版上市后要求须重新安装 Windows 10,且只能通过 ISO进行系统重新安装,无法通过系统还原降版。
虽然 Windows 11在本质上可说是 Windows 10的大型更新版本,理论上对于硬件性能的需求应该大同小异,但微软基于安全性,强制要求须通过 TPM、 UEFI安全启动与基于虚拟化的安全防护等加入系统要求当中,导致部分年份较高的硬件无法符合 Windows 11正式版的要求。
安全风险
Windows特权提升漏洞(CVE-2021-36934)
由于对多个系统文件(包括安全帐户管理器 (SAM) 数据库)的访问控制列表 (ACL) 过于宽松,当系统启用了内置管理员账户(administrator)时,普通用户可以利用此漏洞结合哈希传递攻击实现权限提升,从而在目标主机上以SYSTEM权限执行任意代码。Windows Server 2019和Windows 10大部分版本都被此漏洞影响。
临时修复方案:
限制对 %windir%\system32\config 内容的访问,以管理员身份打开命令提示符或 Windows PowerShell,运行以下命令:icacls %windir%\system32\config*.* /inheritance:e
*
删除卷影复制服务 (VSS) 卷影副本删除限制访问 %windir%\system32\config 之前存在的任何系统还原点和卷影卷,创建一个新的系统还原点(如果需要)。不过在操作时需要注意的是,从系统中删除卷影副本会影响系统和文件的“恢复“操作。
参考链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
企业安全
新华三安全攻防实验室-2021上半年针对性勒索攻击分析报告简报
国内外最新研究数据显示,近期针对企业和组织的勒索攻击正在不断上升。安全研究人员和安全厂商对勒索软件的长期分析和研究、以及安全软件/网关设备对勒索软件拦截率的提升,导致无差别恶意勒索的利润持续走低,也倒逼攻击者进行了技战法和攻击思路的调整。包括弱化无差别的攻击&勒索,转向持续的、复杂的技术投入,挑选拥有重要数据和高支付能力的组织和企业进行攻击,通过较高的支付成功率达成高额赎金的获取。
2021年上半年,针对性勒索攻击事件频发,受害者中不乏一些全球知名的厂商和机构。上半年已公开的攻击事件数量就达到1200起左右,仅半年就接近了2020全年约1400起公开勒索攻击事件。勒索攻击不仅会对受害者造成经济上的损失和数据的破坏/泄露,还可能造成严重的社会负面影响,如:
2月,制作了知名游戏《巫师3》和《赛博朋克2077》的游戏厂商CD Projekt Red遭勒索攻击未支付赎金后,攻击者公然在暗网中拍卖源码数据。
2月,韩国汽车厂商起亚和现代位于美国的公司被攻击,该攻击导致公司IT中断,影响了汽车销售,车主用来操作车辆的应用程序被迫离线无法使用,攻击者索要2000万美元的赎金。
3月20日,全球知名PC制造商宏碁遭受REvil勒索组织攻击,勒索赎金高达5000万美元。
4月27日,美国华盛顿大都会警局遭受Babuk勒索组织攻击,泄露大量敏感的身份信息。
5月7日,美国 Colonial Pipeline 公司遭到DarkSide勒索组织攻击,导致其业务受到严重影响,17个州进入紧急状态。
5月中旬,全球最大的保险公司之一安盛(AXA)集团位于亚洲的分支机构遭到了勒索软件攻击,有3TB的敏感数据被窃取,并且攻击者还对安盛的全球网站进行了DDoS攻击,导致一段时间内无法访问。
5月31日,全球最大肉类加工厂JBS遭受REvil勒索组织攻击,支付赎金达到1100万美元。
6月3日,马萨诸塞州最大的渡轮服务公司遭受勒索软件攻击,导致售票和预订系统中断。
7月2日,Kaseya公司被REvil勒索组织攻击,攻击者利用0day漏洞入侵的服务器发动供应链攻击,推送携带勒索软件恶意更新,受影响的公司高达上千家,勒索赎金规模高达7000万美元。
专业和法律服务、制造业受到勒索攻击持续走高:专业和法律服务和制造业在2021年上半年受到攻击整体比例较高,究其原因,是这两个行业的实体数量在所有行业当中的占比较高,暴露给勒索组织的攻击面较广;另外,很多专业服务公司的规模很小,缺乏专门的IT服务人员,网络结构趋于扁平化,数据备份等安全防护工作并不到位,进一步提高了针对专业和法律服务行业的勒索攻击成功率。
在针对目标进行攻击手法上,今年上半年RDP弱口令、钓鱼和漏洞利用仍是勒索软件的主要入侵手段。特别是从去年开始,由于新冠持续流行,远程办公需求大幅度增加,勒索软件攻击者通过脆弱的VPN凭据进入企业内部网络的风险也大大增加。各种未修补的漏洞和0day漏洞也是企业网被突破的罪魁祸首。Babuk勒索组织今年就在论坛上公然收购VPN 0day漏洞,意图借此入侵更多数量的受害者。值得注意的是,多个新披露的漏洞被勒索攻击者加入武器库,相当数量的受害者受此影响。
更多的勒索组织开始将攻击目标转向云上业务,勒索软件主要加密平台一直是Windows,但随着云上业务的蓬勃发展,很多企业将自身业务向云上迁移,更多勒索组织将目光转向云上,将自身攻击能力向多平台进行扩展,如今年Babuk、REvil勒索组织就开始着手开发Linux版本的勒索软件,针对EXSI等虚拟化管理平台进行加密。通过多平台的勒索软件,攻击者也可以在部署了NAS等重要软件的Linux系统上展开攻击。
针对性勒索攻击作为企业和大型组织安全的重要威胁之一,已经发展出了高度的组织化和产业化,其造成的不单是经济上的损失和数据的破坏,更损害企业的信誉,影响产业发展,甚至对社会运行和公众的生命财产安全也造成了严重威胁。如需对勒索病毒攻击防范进一步了解,请联系蓝盟IT外包获取免费咨询。
中文
电话咨询
微信咨询
公众号
