新聞來源連結:
https://reurl.cc/ErYOrR新聞本文:
安全團隊 CertiK 昨(2)日公布一個可能危及加密貨幣資產安全的漏洞,報告稱微軟 Offi
ce 產品中有名為「 Follina 」的零時差漏洞(CVE-2022-30190),攻擊者可以透過微軟支
援診斷工具(MS Support Diagnostic Tool)取得高系統權限,可用來執行PowerShell 惡意
程式 。
報告甚至提到,該漏洞甚至能允許攻擊者繞過密碼等一系列加密保護,透過這種方式,駭客
能監看受害者電腦的的許多系統資訊與個人隱私。
發現的研究人員Nao_sec稱,自己是在研究微軟Windows遠端程式碼執行(RCE)漏洞CVE-202
1-40444時意外發現的新漏洞,並且在 VirusTotal 上發現一個惡意Word檔案,該檔案包含外
部超連結會自動載入一個HTML檔案,再使用指令「ms-msdt」MSProtocol URI scheme,載入
一段惡意程式碼使 PowerShell執行。
CertiK 為此警告,所有在電腦與線上儲存數位資產的投資者都該格外注意,並舉例以 Meta
Mask為例:只要使用 Follina,駭客可以輕鬆看到受害者的 MetaMask 瀏覽器擴展相關資訊
,使用裡面儲存的金鑰,快速地將資產轉移到另一個錢包。
忽略使用硬體錢包等等是諸如此類零時差漏洞,導致加密貨幣被偷取的主要原因。
-CertiK
而當前問題已回報給微軟官方,已成功進行漏洞立案,官方尚在進行修補程式的製作。雖然
沒有表明受害系統資訊以及 Office 相關版本資訊,動區仍提醒讀者,在修補完成前,請注
意相關資訊,減少使用裝載有 Office 系統的電腦進行交易,以免財產發生損失。
評論:
各位有裝office的電腦都危險喔,幸好我都用退休iphone重置後只裝錢包來操作合約
----
Sent from
BePTT on my iPhone 11
--
doom31樓MetaMask不是還要輸入密碼才能用 沒密碼也能偷看密鑰? 06/06 09:08
ga0130772樓密鑰是存在你的電腦裡面,打密碼只是介面上的把關 06/06 09:24
fr3033883樓那密碼只是防旁人不防駭客程式的 06/06 09:24
ybite4樓簡單查了一下 MetaMask 是把私鑰透過套件進行AES-GCM對稱 06/06 09:28
→ ybite5樓加密後存在本機檔案 如果密碼也同時洩漏或被猜出就沒了 06/06 09:29
→ ybite6樓照理說有保護 但密碼還是偏容易發現 06/06 09:29
→ ybite7樓主要是私鑰加密檔取得後可以不受限制透過暴力破解密碼 06/06 09:33
s850711s8樓沒差 輸到沒錢了 被盜也是空的QQ 06/06 09:41
shawn11169樓好奇問,這種程式防毒有辦法擋嗎? 06/06 09:44
→ ybite10樓理論上可以 但前提是防毒軟體更新趕得上漏洞開發速度 06/06 10:19
→ ybite11樓這個漏洞只要有裝Office 預覽或開啟docx 就能觸發 無關巨集 06/06 10:20
→ ybite12樓但攻擊模式很顯然可以被偵測 就看會不會有變種 06/06 10:21
shawn111613樓謝謝 所以還是要有防毒或冷錢包。我有些小幣冷錢包不 06/06 10:28
→ shawn111614樓支援蠻困擾的,有什麼好方法嗎@@a 06/06 10:28
→ kckckckc15樓可以跑shell 等於取得完全控制權了吧囧 06/06 10:40
brucetu16樓只用退休iphone最安全 06/06 12:08
→ lunnul17樓請問用退休iPhone (Wallet app)連結電腦website (defi的 06/06 12:37
→ lunnul18樓portal)後 不用時disconnect那還會有這類風險嗎? 06/06 12:37
→ cp29663319樓乖乖用硬體錢包連metamask唄 還沒遇過不支援的幣 06/06 12:45
→ OrzOGC20樓還好我用linux 06/06 12:49
shawn111621樓謝cp大 剛查了一下ledger可存小幣 但不支援質押QQ 06/06 13:10
→ shawn111622樓我有Acala Astar等小幣 目前都只能放熱錢包 Q.Q 06/06 13:11
ripple012923樓MacOS Linux估計都能降低風險,多數仍然針對windows 06/06 13:27
→ cp29663324樓質押LIDO可以啊 METAMASK能做的DEFI 硬體錢包都可以 06/06 13:29
→ cp29663325樓metamask不支援的幣/鏈 硬體錢包也可以 06/06 13:29
→ cp29663326樓像sol狐狸不支援 裝個phantom錢包chrome擴充也能玩defi 06/06 13:31
envogue27樓我只有挨打幣在熱錢包因為LEDGER不支援.不過那個也沒人偷 06/06 15:50
tseng197828樓這不是把msdt 關掉就沒事了嗎 ... 06/07 02:29
→ tseng197829樓至少MS官方是這麼建議的 06/07 02:29
xluds2480530樓舊iphone有無法靠軟體更新修復的晶片漏洞,你確定有比 06/07 05:14
