微软智能助手Cortana易被利用,可解锁计算机

Cortana是微软在Windows 10中内置的人工智能助手,但最近其被发现可以帮助攻击者解锁你的电脑。

在周二发布的最新补丁中,微软发布了一项重要更新,以解决Cortana中容易被利用的漏洞,该漏洞可能允许黑客入侵锁定的Windows 10系统并通过用户权限执行恶意指令。在最坏的情况下,如果已经在目标系统上提升了权限,黑客可能会完全接管系统。

权限提升漏洞(CVE-2018-8140,由McAfee安全研究人员报告)的存在是由于Cortana未能充分检查输入的命令,最终导致代码以较高权限执行。

“当Cortana没有考虑状态,然后从用户输入服务中检索数据时,权限提升漏洞就会存在,”微软解释说。 “成功利用此漏洞的攻击者可以在提权后执行命令。”

微软将此漏洞归类为“重要”,因为利用此漏洞需要攻击者对目标系统进行物理访问,并且目标系统也需要启用Cortana。

McAfee高级威胁研究团队(ATR)的Cedric Cochin已发布该漏洞的技术细节,并提供了概念性证明的视频教程,展示了他如何通过Cortana重置密码来劫持已经锁定的Windows 10计算机。

视频:

视频内容

看不到?点这里

“Cochin发现,Cortana只需在锁定的设备上听取请求时打字,他就可以打开一个搜索菜单,Cochin甚至不必向Cortana说任何东西,只需点击”tap and say“按钮并开始输入文字就可以了”,McAfee的一篇博客文章解释道。

Cochin展示了三种不同的攻击媒介,展示了Cortana漏洞如何用于各种恶意目的,例如检索机密信息,登录锁定设备甚至从锁定屏幕运行恶意代码。尽管微软昨天发布了最新的安全更新补丁了这个漏洞,但许多PC还没有运行最新的更新。所以McAfee建议用户在锁定屏幕上关闭Cortana以防止此类攻击。

*参考来源:thehackernews,Covfefe编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-06-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏NetCore

对于大数据大流量情况下微软架构的水平扩展的遐想(瞎想)

最近回顾SAAS的书籍,书中的扩展架构都有点让我痴迷,但书中介绍的都是以Java,Apache,JBoss,Hadloop等技术实现负载均衡,大数据处理,对于微...

23680
来自专栏沃趣科技

备份重于一切:远离“Gitlab删库事件”,QBackup是你的最佳选择!

作者简介:孙朝阳 沃趣科技高级产品经理。 案发现场: Gitlab删库事件回顾 Gitlab是大家很熟悉的开源Git代码托管工具,国内公司大多使用社区版自行搭...

39380
来自专栏大数据文摘

大型网站系统架构演化之路

25350
来自专栏一名叫大蕉的程序员

分布式架构的套路No.74

今天小蕉跟大伙一起聊聊分布式系统的架构的套路。在开始说套路之前,大家先思考一个问题,为什么要进行分布式架构? 大多数的开发者大多数的系统可能从来没接触过分布式...

22870
来自专栏云加头条

腾讯云“开发者实验室”与“DCDB”产品揽获工信部信通院两大年度奖项

11月17日,由高效运维社区主办的GOPS全球运维大会暨第二届中国运维行业年度盛典隆重召开,全球运维大会也是中国首个专属运维行业的盛会,面向互联网及传统行业的广...

16800
来自专栏腾讯移动品质中心TMQ的专栏

性能自动化充电、断电之痛​——小松鼠的救赎之路

起因 去年刚来公司,我便接手了腾讯LB这款App的性能测试工作。 当时的性能测试的需求是,采集腾讯LB在“前台导航”“后台导航”等数个场景下的...

24390
来自专栏企鹅号快讯

分布式架构的套路No.74

今天小蕉跟大伙一起聊聊分布式系统的架构的套路。在开始说套路之前,大家先思考一个问题,为什么要进行分布式架构? 大多数的开发者大多数的系统可能从来没接触过分布式系...

39690
来自专栏FreeBuf

有人在偷窥?智能摄像头真的“聪明”吗?

写在前面的话 在这个物联网当道的时代,类似咖啡机、汽车、冰箱和灯泡这样的东西都开始接入互联网了,而且更加智能化了。而且很多城市甚至还出现了智能街道。智能摄像头其...

45160
来自专栏云市场·精选汇

小程序分享及用户信息授权等接口能力的调整通知

针对近期部分小程序接口能力使用不合理的情况,微信公众平台将对下列能力进行调整。开发者可在最新版开发者工具内,选择最新基础库版本体验。调整方案具体如下,请开发者尽...

62750
来自专栏开源优测

移动测试 | CheckList

移动测试CheckList 概述 在正式开始分享Appium前,先来一篇关于移动测试CheckList以便大家了解下移动测试要测试什么。 功能测试 功能测试对于...

39380

扫码关注云+社区

领取腾讯云代金券