微軟員工意外從CVE-2024-3094 XZ後門中挽救全球Linux系統


微軟今天,微軟發佈關於XZUtils後門漏洞(CVE-2024-3094)的指導和公告。該安全漏洞是一個重大漏洞,CVSS(通用漏洞計分系統)得分為10.0,影響多個Linux發行版,即Fedora、KaliLinux、OpenSUSE和Alpine,可能會對全球造成巨大影響。

1588189631_ms_loves_linux_story.jpg

幸運的是,微軟Linux 開發人員 Andres Freund 意外地及時發現這一漏洞,他對 SSH(安全外殼)端口連接為何會出現 500 毫秒延遲感到好奇,結果發現一個嵌入在 XZ 文件壓縮器中的惡意後門。

到目前為止,在撰寫本文時,VirtusTotal 隻列出63 傢安全廠商中的 4 傢,其中包括微軟,它們都正確地檢測到該漏洞的危害性。

因此,在這一事件中,微軟工程師的鷹眼本領值得稱贊,因為很多人可能根本不會費心去研究它。這一事件也凸顯開源軟件是如何被有害行為者利用的。

XZ Utils 的 5.6.0 和 5.6.1 版本已被後門破壞,美國網絡安全和基礎設施安全局(CISA)的官方建議是使用舊的安全版本。

根據建議指南,要驗證系統中是否有漏洞軟件,用戶可以在 SSH 中以管理員權限運行以下命令:

xz--version

系統管理員也可使用第三方掃描和檢測工具。安全研究公司 Qualys 和 Binarly 發佈檢測和掃描工具,用於檢測系統是否受到影響。

Qualys 發佈 VULNSIGS 2.6.15-6 版本,並在 QID(Qualys 漏洞檢測 ID)"379548"下標記該漏洞。

1712041040_xz_utils_binarly_scanner.jpg

與此同時,Binarly 還發佈一款免費的 XZ 後門掃描工具,一旦檢測到 XZ Utils 被入侵,該工具就會發出"XZ 惡意植入"的檢測信息。

您可以在Binarly和Qualys的網站上找到與該漏洞相關的更多技術細節。


相關推薦

2024-04-02

微軟發佈有關在XZUtils中發現的關鍵漏洞的詳細常見問題解答和指導。該漏洞的標識符為CVE-2024-3094,嚴重等級為危急,發現原因是軟件供應鏈遭到破壞。XZUtils工具主要用於各種Linux發行版的數據壓縮,對於管理軟件包、內核映像

2024-04-01

微軟研究員AndresFreund偶然發現可以破解sshd身份驗證的惡意代碼。如果沒有被發現,它可能會對Linux構成嚴重威脅。開源社區對這一事件作出反應,肯定這一發現的偶然性,以及它是如何幸運地在對更廣泛的Linux社區構成重大風險

2024-04-03

"。XZ 後門被發現的故事始於 3 月 29 日凌晨 舊金山的微軟開發人員安德烈斯-弗羅因德在 Mastodon 上發帖並向 OpenWall 的安全郵件列表發送一封電子郵件,標題為"上遊 xz/liblzma 中的後門導致 ssh 服務器被入侵"Freund 是 Postgr

2024-04-02

xz後門盡管沒有引起嚴重的問題,不過這次安全危機也為Linux乃至整個開源社區敲響警鐘,那就是想要發起供應鏈攻擊其實也不是特別困難。在xz項目中原作者因為各種原因身心俱疲,當有個熱心的貢獻者前來幫忙時,原作者自然

2024-03-30

最關註的事情就是xz-utils(以前被稱為LZMAUtils)項目被植入後門的事情,xz是被Linux發行版廣泛使用的壓縮格式之一,xz-utils是一個開源項目,2022年起有個名為JiaTan的賬號開始向該項目貢獻代碼,然後逐步接手該項目成為項目的主要

2022-08-18

Vice援引網絡安全研究公司SpiderSilk報告稱,微軟員工在線上代碼托管平臺泄露該公司敏感的內部憑據。文章指出,微軟方面已證實,該公司員工通過GitHub意外放出這部分數據。SpiderSilk首席安全官MossabHussein無奈道,想要及時發現

2024-04-16

人知的程序,已被植入全球 Linux 操作系統)中插入秘密後門的行為 "可能並非孤立事件"。他們說,至少有三個不同的 JavaScript 項目成為未具名個人的攻擊目標,這些人要求進行可疑的更新,或要求成為目標軟件的維護者

2022-08-18

8月18日消息,微軟內部員工認為公司今年的加薪幅度並未達到既定承諾,也趕不上美國通脹速度,不少員工打算9月份發放績效後跳槽到其他公司。今年早些時候,為防止公司員工跳槽至亞馬遜等競爭對手,微軟承諾將大幅加薪

2022-07-21

一山社區的一座藝術博物館,近期組織一批來自亞馬遜和微軟員工的藝術品展覽,並且打出“AmazonvsMicrosoft”宣傳口號。但在引發嚴重的負面輿論後,MuseumofMuseums還是悻悻然撤回這場展覽。盡管標題有些誇張,但 MoM 還是通過 Inst

2023-03-17

近日,一位Twitter用戶@TCNOco在微軟商店購買正版的Windows10專業版密鑰,但無法激活操作系統。他聯系微軟官方支持部門,沒想到對方竟然使用一個非官方的腳本為他激活系統,這種方法實際上是盜版,不合法。@TCNOco最初與微軟支

2024-03-09

很久很久以前,一名微軟員工戴夫·普盧默決定編寫一個外殼擴展,以便在Windows95的新UI界面及其文件管理器中打開ZIP壓縮文件。這個名為VisualZIP的有趣項目後來成為Windows的本機功能和一輛掛著"200-FQU"牌照的

2023-02-03

2月2日消息,近日網絡流傳一張截圖,內容透露微軟蘇州將進行大裁員,賠償N+12個月工資,股票解禁,一年社保。此消息一出,便引起網絡熱議。對此,職場博主@王落北發佈的聊天記錄顯示,有網友在網絡上表示自己就是這件

2023-04-27

知名數據分析公司GlobalData高管CyrusMewawalla告訴媒體,微軟去年憑借聊天機器人ChatGPT確立技術優勢,而谷歌則在人工智能(AI)上面臨“柯達時刻”。Mewawalla表示,人工智能是2023年的重大主題,而微軟正是通過對ChatGPT開發商、人

2022-08-29

談到設計工作,似乎繞不開Adob的e全傢桶軟件。不過,微軟公司內部設計人員、開發者、數據科學傢、銷售員的主力軟件悄然發生變化,上萬人已經改用Figma。Figma說來也並不年輕,早在2012年就成立,如今擁有800名員工,今年預