360安全週報第28期

（2021.01.29-2021.02.04）

微軟Windows Defender 疑似將谷歌瀏覽器更新誤標記為惡意軟體

根據部分推特使用者的反饋，Microsoft Defender將“sl.pak”檔案標記為了“Funvalget 後門”，這似乎與 Chrome 瀏覽器 88.0.4324.104 版本的安裝程式中存在的語言本地化有關。

目前微軟官方尚未答覆該檔案是否確實存在安全風險，或者是否進行了誤報。不過有使用者稱微軟已將該檢測定義為誤報。使用谷歌瀏覽器的使用者，建議先暫緩升級，等待微軟處理此問題，避免給瀏覽器帶來異常故障

Win10 20H2 19042.789版本開始推送

本週Win10 KB4598291 可選更新開始向執行 20H2和 2004 版本的裝置推送，安裝該補丁將會升級到 19042.789版本。Win10 KB4598291 是一個可選更新（也被稱為“預覽”累積更新），這意味著它不會被強制安裝到你的系統中，除非你在設定應用程式中點選 “下載和安裝”按鈕。與 2021年1月的“星期二補丁”不同的是，這個可選的版本帶有對長期存在的關鍵錯誤的修復。

根據該補丁的日誌顯示，本次版本重點優化了Alt-Tab 的體驗，允許使用者使用鍵盤快捷鍵在應用之間切換。此外，修復了當你在全屏或啟用平板電腦模式下啟動遊戲時，裝置可能沒有反應的故障。以及在之前的影片中提及的【無法訪問固定在桌面上的文件】的錯誤。

值得注意的是，作為可選補丁，目前使用者可以選擇跳過這個補丁，等待後續2 月 9 日（星期二補丁）再獲得這些修復

微軟Windows Installer 本地許可權提升漏洞被爆出

2月3日，360監測發現 Windows Installer最新提權高危漏洞EXP已經在網際網路公開。Windows Installer 在進行檔案操作時存在一處漏洞，允許攻擊者設定特殊的登錄檔項，進而提升許可權到具備Windows系統最高許可權的SYSTEM使用者。該漏洞為 CVE-2020-16902 的補丁繞過。

該漏洞的觸發機制，是在安裝MSI程式包時，Windows Installer會建立一個回滾指令碼，以防安裝失敗時可以修復安裝過程中進行的一系列修改。但 Windows Installer 程式中存在漏洞，允許攻擊者在安裝過程中自定義回滾指令碼的執行路徑，進而導致Windows使用高許可權執行該目標程式，完成許可權提升。

英國研究與創新局(UKRI)的系統被勒索軟體攻擊

近期，英國研究與創新局對外批露其系統遭到勒索軟體攻擊，且至少有兩項服務受到了影響，該事件也對其網路資產產生巨大威脅。

英國研究與創新局成立於2018年4月，負責支援英格蘭高等教育機構的研究和知識交流。

受影響的服務之一是英國研究與創新局理事會用於其同行審閱活動的外部網站，這意味著贈款申請和審閱資訊可能已受到損害。第二種服務是英國研究辦公室入口網站的訂閱服務，有13,000個使用者，但該機構指出，此項服務不包含敏感的個人資料。

該事件仍在繼續調查中。