#microsoft-defender — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #microsoft-defender, aggregated by home.social.
-
Defence Impairment Olympics
A sophisticated attack sequence was detected beginning June 7 involving a steganographically hidden webshell on a vulnerable Adobe ColdFusion server. The threat actor executed extensive enumeration commands before deploying approximately a dozen defence impairment techniques. These included disabling IIS logging, tampering with Microsoft Defender, timestomping file metadata, killing Sysmon and Filebeat processes, uninstalling ModSecurity WAF, downgrading WDigest credential protection, and using WMI Event Consumer to clear Windows Event Logs. A batch script named i.bat revealed the complete attack chain, culminating in Mimikatz credential dumping. The attack persisted through multiple remediation attempts when the vulnerable server was prematurely reconnected before complete patching was finished, allowing the threat actor to maintain access and continue operations over several days.
Pulse ID: 6a4323652af5f050747cd53a
Pulse Link: https://otx.alienvault.com/pulse/6a4323652af5f050747cd53a
Pulse Author: AlienVault
Created: 2026-06-30 02:01:09Be advised, this data is unverified and should be considered preliminary. Always do further verification.
#Adobe #ColdFusion #CyberSecurity #ICS #InfoSec #Microsoft #MicrosoftDefender #OTX #OpenThreatExchange #RAT #Windows #bot #AlienVault
-
Defence Impairment Olympics
A sophisticated attack sequence was detected beginning June 7 involving a steganographically hidden webshell on a vulnerable Adobe ColdFusion server. The threat actor executed extensive enumeration commands before deploying approximately a dozen defence impairment techniques. These included disabling IIS logging, tampering with Microsoft Defender, timestomping file metadata, killing Sysmon and Filebeat processes, uninstalling ModSecurity WAF, downgrading WDigest credential protection, and using WMI Event Consumer to clear Windows Event Logs. A batch script named i.bat revealed the complete attack chain, culminating in Mimikatz credential dumping. The attack persisted through multiple remediation attempts when the vulnerable server was prematurely reconnected before complete patching was finished, allowing the threat actor to maintain access and continue operations over several days.
Pulse ID: 6a4323652af5f050747cd53a
Pulse Link: https://otx.alienvault.com/pulse/6a4323652af5f050747cd53a
Pulse Author: AlienVault
Created: 2026-06-30 02:01:09Be advised, this data is unverified and should be considered preliminary. Always do further verification.
#Adobe #ColdFusion #CyberSecurity #ICS #InfoSec #Microsoft #MicrosoftDefender #OTX #OpenThreatExchange #RAT #Windows #bot #AlienVault
-
Powrót do przeszłości w cyberbezpieczeństwie. Nowy robak kradnie kryptowaluty przez port USB
W erze wyrafinowanych ataków chmurowych i wszechobecnego phishingu cyberprzestępcy przypomnieli sobie o starym, sprawdzonym wektorze ataku.
Microsoft wykrył nowego, samorozprzestrzeniającego się robaka, który infekuje komputery przez zwykłe pendrive’y. Jego jedynym celem jest bezszelestne wyczyszczenie twojego portfela kryptowalut.
Odkryte przez Microsoft zagrożenie otrzymało nazwę Crypto Clipper. To wyjątkowo sprytny kawałek kodu, który łączy archaiczne metody infekcji z najnowocześniejszymi technikami zacierania śladów. Jak ostrzegają badacze, mamy tu do czynienia z „lekkim backdoorem”, który potrafi wyrządzić gigantyczne szkody.
Cichy pasożyt na dysku
Złośliwe oprogramowanie ukrywa się na dyskach USB pod postacią złośliwych skrótów systemu Windows (.lnk), które uruchamiają szkodliwy kod. Co ciekawe, aby uśpić czujność ofiary, robak skanuje zawartość pendrive’a i nadaje swoim skrótom nazwy łudząco podobne do plików, które już się na nim znajdują. Gdy nieświadomy użytkownik uruchomi taki spreparowany skrót, Crypto Clipper instaluje się w systemie i natychmiast przechodzi w tryb nasłuchu.
W przeciwieństwie do głośnego ransomware, ten robak działa bezszelestnie. Jego głównym zadaniem jest monitorowanie systemowego schowka w poszukiwaniu ciągów znaków przypominających adresy portfeli kryptowalutowych oraz tzw. seed phrases (ciągów 12 lub 24 słów odzyskujących dostęp do zgromadzonych środków). Gdy skopiujesz adres, by wykonać przelew, złośliwy kod w ułamku sekundy podmienia go na adres kontrolowany przez hakera. Jeśli nie zweryfikujesz go przed zatwierdzeniem transakcji, twoje środki bezpowrotnie znikną.
Microsoft nie ujawnił pełnej skali tej kampanii, ale użytkownicy systemu Windows powinni zachować szczególną ostrożność przy podłączaniu nieznanych nośników USB.
Na podmianie adresów inwigilacja się jednak nie kończy. Po wykryciu interesujących danych robak wykonuje pięć zrzutów ekranu w odstępie 10 sekund. To pozwala przestępcom zdobyć cenny kontekst operacyjny: widzą, z jakich aplikacji korzystasz, ile masz środków i jak wygląda twoje prywatne środowisko pracy.
Zakamuflowany dzięki sieci Tor
To, co czyni Crypto Clippera tak niebezpiecznym, to sposób, w jaki komunikuje się ze swoimi twórcami. Tradycyjne złośliwe oprogramowanie zazwyczaj łączy się z serwerami dowodzenia (C2) za pomocą otwartych protokołów, co ułatwia jego wykrycie i zablokowanie przez programy antywirusowe.
Tutaj hakerzy zastosowali zupełnie inną taktykę. Robak pobiera przenośnego klienta sieci Tor i kieruje cały skradziony ruch przez lokalne proxy SOCKS5. Dzięki temu przesyłane dane są w pełni zanonimizowane, a wykrycie, dokąd trafiają kradzione kryptowaluty i zrzuty ekranu, staje się dla zapór sieciowych znacznie utrudnione.
Historia zatacza koło
Ten przypadek doskonale udowadnia, że w świecie cyberbezpieczeństwa najsłabszym ogniwem zawsze pozostaje człowiek, a zapomniane metody wciąż są zabójczo skuteczne. Warto przypomnieć, że to właśnie między innymi za pomocą zainfekowanych pamięci USB słynny robak Stuxnet zdołał przeniknąć do fizycznie odciętych od internetu irańskich zakładów i zniszczyć wirówki do wzbogacania uranu.
Skala obu tych zjawisk jest oczywiście inna, ale mechanizm błędu pozostaje identyczny. Kiedyś przez USB niszczono tajne programy nuklearne, dziś czyści się portfele z Bitcoinów i innych kryptowalut. Warto o tym pamiętać, zanim następnym razem w ułamku sekundy zdecydujemy się podłączyć do komputera znaleziony w biurze nośnik danych.
#bezpieczeństwoIT #CryptoClipper #cyberbezpieczeństwo #hacking #kradzieżKryptowalut #MicrosoftDefender #siećTor #Stuxnet #wirusZUSB -
Powrót do przeszłości w cyberbezpieczeństwie. Nowy robak kradnie kryptowaluty przez port USB
W erze wyrafinowanych ataków chmurowych i wszechobecnego phishingu cyberprzestępcy przypomnieli sobie o starym, sprawdzonym wektorze ataku.
Microsoft wykrył nowego, samorozprzestrzeniającego się robaka, który infekuje komputery przez zwykłe pendrive’y. Jego jedynym celem jest bezszelestne wyczyszczenie twojego portfela kryptowalut.
Odkryte przez Microsoft zagrożenie otrzymało nazwę Crypto Clipper. To wyjątkowo sprytny kawałek kodu, który łączy archaiczne metody infekcji z najnowocześniejszymi technikami zacierania śladów. Jak ostrzegają badacze, mamy tu do czynienia z „lekkim backdoorem”, który potrafi wyrządzić gigantyczne szkody.
Cichy pasożyt na dysku
Złośliwe oprogramowanie ukrywa się na dyskach USB pod postacią złośliwych skrótów systemu Windows (.lnk), które uruchamiają szkodliwy kod. Co ciekawe, aby uśpić czujność ofiary, robak skanuje zawartość pendrive’a i nadaje swoim skrótom nazwy łudząco podobne do plików, które już się na nim znajdują. Gdy nieświadomy użytkownik uruchomi taki spreparowany skrót, Crypto Clipper instaluje się w systemie i natychmiast przechodzi w tryb nasłuchu.
W przeciwieństwie do głośnego ransomware, ten robak działa bezszelestnie. Jego głównym zadaniem jest monitorowanie systemowego schowka w poszukiwaniu ciągów znaków przypominających adresy portfeli kryptowalutowych oraz tzw. seed phrases (ciągów 12 lub 24 słów odzyskujących dostęp do zgromadzonych środków). Gdy skopiujesz adres, by wykonać przelew, złośliwy kod w ułamku sekundy podmienia go na adres kontrolowany przez hakera. Jeśli nie zweryfikujesz go przed zatwierdzeniem transakcji, twoje środki bezpowrotnie znikną.
Microsoft nie ujawnił pełnej skali tej kampanii, ale użytkownicy systemu Windows powinni zachować szczególną ostrożność przy podłączaniu nieznanych nośników USB.
Na podmianie adresów inwigilacja się jednak nie kończy. Po wykryciu interesujących danych robak wykonuje pięć zrzutów ekranu w odstępie 10 sekund. To pozwala przestępcom zdobyć cenny kontekst operacyjny: widzą, z jakich aplikacji korzystasz, ile masz środków i jak wygląda twoje prywatne środowisko pracy.
Zakamuflowany dzięki sieci Tor
To, co czyni Crypto Clippera tak niebezpiecznym, to sposób, w jaki komunikuje się ze swoimi twórcami. Tradycyjne złośliwe oprogramowanie zazwyczaj łączy się z serwerami dowodzenia (C2) za pomocą otwartych protokołów, co ułatwia jego wykrycie i zablokowanie przez programy antywirusowe.
Tutaj hakerzy zastosowali zupełnie inną taktykę. Robak pobiera przenośnego klienta sieci Tor i kieruje cały skradziony ruch przez lokalne proxy SOCKS5. Dzięki temu przesyłane dane są w pełni zanonimizowane, a wykrycie, dokąd trafiają kradzione kryptowaluty i zrzuty ekranu, staje się dla zapór sieciowych znacznie utrudnione.
Historia zatacza koło
Ten przypadek doskonale udowadnia, że w świecie cyberbezpieczeństwa najsłabszym ogniwem zawsze pozostaje człowiek, a zapomniane metody wciąż są zabójczo skuteczne. Warto przypomnieć, że to właśnie między innymi za pomocą zainfekowanych pamięci USB słynny robak Stuxnet zdołał przeniknąć do fizycznie odciętych od internetu irańskich zakładów i zniszczyć wirówki do wzbogacania uranu.
Skala obu tych zjawisk jest oczywiście inna, ale mechanizm błędu pozostaje identyczny. Kiedyś przez USB niszczono tajne programy nuklearne, dziś czyści się portfele z Bitcoinów i innych kryptowalut. Warto o tym pamiętać, zanim następnym razem w ułamku sekundy zdecydujemy się podłączyć do komputera znaleziony w biurze nośnik danych.
#bezpieczeństwoIT #CryptoClipper #cyberbezpieczeństwo #hacking #kradzieżKryptowalut #MicrosoftDefender #siećTor #Stuxnet #wirusZUSB -
New zero-day Local Privilege Escalation (EoP) flaw in Microsoft Defender: CVE-2026-50656 (RoguePlanet)! 🚨
Low-privilege users can abuse a TOCTOU race condition to hijack system paths and spawn an NT AUTHORITY\SYSTEM shell. Deep dive analysis here:👇
https://denizhalil.com/2026/06/18/cve-2026-50656-microsoft-defender-eop-vulnerability-analysis/
-
Akira, LimeWire, and the Sour Taste of Data Exfiltration
In a recent ransomware attack, threat actors accessed a victim's hypervisor and created a new virtual machine to stage and launch Akira ransomware. The forensic investigation revealed the attackers disabled Microsoft Defender immediately, installed WinRAR for data staging, and used Easyupload.io, a file transfer website owned by LimeWire, for data exfiltration. The threat actor also utilized WinSCP and enumerated Active Directory users and computers. The newly instantiated VM lacked security tooling, allowing the attacker to operate uninhibited. Analysis of the VHDX file provided clear evidence of the attack progression, showing the threat actor moved quickly through their operations without employing sophisticated anti-forensics techniques. The incident highlights the need for organizations to monitor environments for unusual access and new endpoint creation.
Pulse ID: 6a2c3a9558633c03af0b3177
Pulse Link: https://otx.alienvault.com/pulse/6a2c3a9558633c03af0b3177
Pulse Author: AlienVault
Created: 2026-06-12 16:57:57Be advised, this data is unverified and should be considered preliminary. Always do further verification.
#Akira #CyberSecurity #Endpoint #ICS #InfoSec #Mac #Microsoft #MicrosoftDefender #OTX #OpenThreatExchange #RAT #RansomWare #WinRAR #WinSCP #bot #AlienVault
-
Akira, LimeWire, and the Sour Taste of Data Exfiltration
In a recent ransomware attack, threat actors accessed a victim's hypervisor and created a new virtual machine to stage and launch Akira ransomware. The forensic investigation revealed the attackers disabled Microsoft Defender immediately, installed WinRAR for data staging, and used Easyupload.io, a file transfer website owned by LimeWire, for data exfiltration. The threat actor also utilized WinSCP and enumerated Active Directory users and computers. The newly instantiated VM lacked security tooling, allowing the attacker to operate uninhibited. Analysis of the VHDX file provided clear evidence of the attack progression, showing the threat actor moved quickly through their operations without employing sophisticated anti-forensics techniques. The incident highlights the need for organizations to monitor environments for unusual access and new endpoint creation.
Pulse ID: 6a2c3a9558633c03af0b3177
Pulse Link: https://otx.alienvault.com/pulse/6a2c3a9558633c03af0b3177
Pulse Author: AlienVault
Created: 2026-06-12 16:57:57Be advised, this data is unverified and should be considered preliminary. Always do further verification.
#Akira #CyberSecurity #Endpoint #ICS #InfoSec #Mac #Microsoft #MicrosoftDefender #OTX #OpenThreatExchange #RAT #RansomWare #WinRAR #WinSCP #bot #AlienVault
-
📝 「パッチの呪縛」が露呈——RoguePlanet脆弱性が問う、セキュリティ更新の限界と防御パラダイムの再構築
Microsoftの月例パッチ直後に発見された「RoguePlanet」。完全な更新状態でも攻撃される現実が、従来のセキュリティ戦略の根本的な矛盾を浮き彫りにしています。
-
📝 「パッチの呪縛」が露呈——RoguePlanet脆弱性が問う、セキュリティ更新の限界と防御パラダイムの再構築
Microsoftの月例パッチ直後に発見された「RoguePlanet」。完全な更新状態でも攻撃される現実が、従来のセキュリティ戦略の根本的な矛盾を浮き彫りにしています。
-
A new Microsoft Defender zero-day, 'RoguePlanet,' has been publicly disclosed, allowing attackers to gain SYSTEM privileges on fully patched Windows 10 and 11 systems. Security researcher Chaotic Eclipse released the PoC after a Patch Tuesday, reigniting the debate over vulnerability disclosure practices. The exploit, a race condition, proves viable despite variable reliability, posing…
#cybersecurity #microsoftdefender #rogueplanet
🤖 This post was AI-generated.
-
Microsoft Defender Zero-Day Exploited for SYSTEM Privileges
A newly discovered Microsoft Defender zero-day exploit, dubbed RoguePlanet, can spawn a Windows command prompt with SYSTEM privileges, posing a significant threat to fully patched Windows 10 and 11 devices. This cleverly crafted exploit uses a hit-or-miss race condition to gain elevated access, with some machines surprisingly vulnerable to…
#MicrosoftDefender #ZeroDay #Rogueplanet #SystemPrivileges #Windows10
-
The Demon Arrives Later: A Havoc Stager Hides Behind Microsoft Defender DLP
Pulse ID: 6a279c993b98aadf6d690e1a
Pulse Link: https://otx.alienvault.com/pulse/6a279c993b98aadf6d690e1a
Pulse Author: Tr1sa111
Created: 2026-06-09 04:54:49Be advised, this data is unverified and should be considered preliminary. Always do further verification.
#CyberSecurity #InfoSec #Microsoft #MicrosoftDefender #OTX #OpenThreatExchange #bot #Tr1sa111
-
I can't believe that there doesn't seem to be a way to show you which #malware (name and details) #MicrosoftDefender believes to have found on #Mac under #macOS. Can only find out the file path, but nothing else?!
What's wrong with #ProductOwner|s these days?! 😠
-
🛡️ Microsoft Defender peut désormais isoler automatiquement un appareil compromis
👉 https://www.justgeek.fr/microsoft-defender-isolation-automatique-appareil-compromis-151130/
#MicrosoftDefender #Sécurité #Windows #Microsoft #Piratage #Cybersécurité
-
Microsoft Defender Automatically Isolates Hacked Endpoints
Microsoft Defender for Endpoint just got a major boost with its new automatic isolation feature, which swiftly isolates compromised devices to prevent attackers from wreaking havoc on your organization. This cutting-edge capability is part of Microsoft's automatic attack disruption feature, designed to contain…
#MicrosoftDefender #EndpointSecurity #AutomaticAttackDisruption #ThreatContainment #EmergingThreats
-
Microsoft Discloses Actively Exploited Defender Vulnerabilities
Microsoft warns of two critical vulnerabilities in its Defender software, one of which is being actively exploited by attackers to gain elevated privileges, and the other causing denial-of-service issues. These flaws, tracked as CVE-2026-41091 and CVE-2026-45498, highlight the need for urgent patching to…
#MicrosoftDefender #VulnerabilityExploitation #LocalPrivilegeEscalation #Cve202641091 #Cve202645498
-
🖥️🛡️ Comment ajouter une exclusion dans Microsoft Defender sur Windows 11
👉 https://www.justgeek.fr/ajouter-exclusion-microsoft-defender-windows-11-150865/
#Windows11 #MicrosoftDefender #SécuritéWindows #Sécurité #Tutoriel
-
Microsoft Disrupts Zero-Day Attacks with Defender Patch Rollout
Microsoft is taking swift action to protect its users from zero-day attacks with an emergency patch rollout for its Defender software, ensuring that even the most vulnerable systems are safeguarded. The update addresses two critical vulnerabilities that were being actively exploited by hackers.
#ZeroDay #MicrosoftDefender #Cve202641091 #Cve202645498 #EmergingThreats
-
AI-powered defense for an AI-accelerated threat landscape https://www.yayafa.com/2799125/ #AgenticAi #AI #ArtificialGeneralIntelligence #ArtificialIntelligence #Copilot #Microsoft #MicrosoftAI #MicrosoftCopilot #MicrosoftDefender #MicrosoftSecurity #エージェント型AI #人工知能 #汎用人工知能
-
AI-powered defense for an AI-accelerated threat landscape https://www.yayafa.com/2799125/ #AgenticAi #AI #ArtificialGeneralIntelligence #ArtificialIntelligence #Copilot #Microsoft #MicrosoftAI #MicrosoftCopilot #MicrosoftDefender #MicrosoftSecurity #エージェント型AI #人工知能 #汎用人工知能
-
Defender Misflags DigiCert Root Certificates, Breaking Windows SSL Trust
#MicrosoftDefender #Microsoft #DigiCert #Cybersecurity #Malware #AntivirusSoftware #WindowsSecurity #ThreatIntelligence #Windows11 #MicrosoftWindows
-
Defender Misflags DigiCert Root Certificates, Breaking Windows SSL Trust
#MicrosoftDefender #Microsoft #DigiCert #Cybersecurity #Malware #AntivirusSoftware #WindowsSecurity #ThreatIntelligence #Windows11 #MicrosoftWindows
-
DigiCert breached via malicious screensaver file
#DigiCert #MicrosoftDefender #ZhongStealer
https://www.helpnetsecurity.com/2026/05/04/digicert-breach-code-signing-certificates-malware/ -
DigiCert breached via malicious screensaver file
#DigiCert #MicrosoftDefender #ZhongStealer
https://www.helpnetsecurity.com/2026/05/04/digicert-breach-code-signing-certificates-malware/ -
#MicrosoftDefender wrongly flags #DigiCert certs as #Trojan:Win32/Cerdigent(dot)A!dha
-
#MicrosoftDefender wrongly flags #DigiCert certs as #Trojan:Win32/Cerdigent(dot)A!dha
-
Der #MicrosoftDefender stuft nach einem Signatur-Update legitime #Zertifikate als #Trojaner ein und löscht sie. Dadurch kam es zu Störungen bei Webseiten und Anwendungen. Ein Fix steht bereit. #Fehlalarm https://winfuture.de/news,158482.html?utm_source=Mastodon&utm_medium=ManualStatus&utm_campaign=SocialMedia
-
Der #MicrosoftDefender stuft nach einem Signatur-Update legitime #Zertifikate als #Trojaner ein und löscht sie. Dadurch kam es zu Störungen bei Webseiten und Anwendungen. Ein Fix steht bereit. #Fehlalarm https://winfuture.de/news,158482.html?utm_source=Mastodon&utm_medium=ManualStatus&utm_campaign=SocialMedia
-
Microsoft Defender's recent false positive, flagging legitimate DigiCert root certificates as 'Trojan:Win32/Cerdigent.A!dha', sent IT teams globally into a frenzy on May 3. This widespread incident consumed valuable operational time, undermined faith in automated defenses, and highlights the urgent need for more stringent testing of security intelligence updates for foundational system…
#cybersecurity #microsoftdefender #digicert
🤖 This post was AI-generated.
-
Microsoft Defender wrongly flags DigiCert certs as Trojan:Win32/Cerdigent.A!dha
#MicrosoftDefender #DigiCert #GoldenEyeDog #ZhongStealer
https://www.bleepingcomputer.com/news/security/microsoft-defender-wrongly-flags-digicert-certs-as-trojan-win32-cerdigentadha/ -
Microsoft Defender wrongly flags DigiCert certs as Trojan:Win32/Cerdigent.A!dha
#MicrosoftDefender #DigiCert #GoldenEyeDog #ZhongStealer
https://www.bleepingcomputer.com/news/security/microsoft-defender-wrongly-flags-digicert-certs-as-trojan-win32-cerdigentadha/ -
Microsoft Defender Flags DigiCert Certificates as Malware in False Positives
Microsoft Defender's recent signature update mistakenly flagged legitimate DigiCert root certificates as malware, causing widespread alerts and removal of the certificates, and even prompting some users to reinstall Windows. DigiCert quickly revoked the affected certificates within 24 hours of discovery,…
#FalsePositives #MicrosoftDefender #Digicert #CertificateRevocation #MalwareDetection
-
We'll install MS Defender on your VMs, they said.
It will make them more secure, they said.#infosec #Defender #MicrosoftDefender
#RedSun #BlueHammer #UnDefend -
We'll install MS Defender on your VMs, they said.
It will make them more secure, they said.#infosec #Defender #MicrosoftDefender
#RedSun #BlueHammer #UnDefend -
CISA Mandates Patching of Exploited BlueHammer Flaw in Federal Systems
Don't let your federal systems become an easy target: CISA is mandating the patching of the exploited BlueHammer flaw to prevent malicious cyber actors from gaining a foothold. A high-severity vulnerability in Microsoft Defender can allow low-privileged users to gain SYSTEM permissions - but a patch is available.
#Cve202633825 #Bluehammer #MicrosoftDefender #PatchTuesday #PrivilegeEscalation
-
🛡️ Microsoft Defender suffit-il vraiment en 2026 ? Ce que Microsoft ne vous dit pas (ou presque)
👉 https://www.justgeek.fr/microsoft-defender-suffit-windows-11-149515/
#MicrosoftDefender #SécuritéWindows #Antivirus #Windows11 #Microsoft
-
🔐 Just shipped a fix for the April 2026 Windows update (KB5083769) that flags unsigned RDP files as "Unknown Publisher".
If you manage RDP shortcuts via Intune and your users are suddenly seeing red security warnings — here's a complete solution:
✅ Self-signed code signing cert (no PKI required)
✅ rdpsign.exe signing workflow
✅ Intune Win32 package (install + uninstall scripts)
✅ Trusted Certificate profile + Settings Catalog policies
✅ Versioned detection rule for clean updates
✅ Supersedence pattern for migrating from unsigned deployments
Tested in production on a real M365 Business Premium environment.
🔗 github.com/Bluewal/m365-intune-scripts/tree/main/intune/rdp-signing
#Intune #Microsoft365 #RDP #BlueTeam #WindowsSecurity #MicrosoftDefender -
🔐 Just shipped a fix for the April 2026 Windows update (KB5083769) that flags unsigned RDP files as "Unknown Publisher".
If you manage RDP shortcuts via Intune and your users are suddenly seeing red security warnings — here's a complete solution:
✅ Self-signed code signing cert (no PKI required)
✅ rdpsign.exe signing workflow
✅ Intune Win32 package (install + uninstall scripts)
✅ Trusted Certificate profile + Settings Catalog policies
✅ Versioned detection rule for clean updates
✅ Supersedence pattern for migrating from unsigned deployments
Tested in production on a real M365 Business Premium environment.
🔗 github.com/Bluewal/m365-intune-scripts/tree/main/intune/rdp-signing
#Intune #Microsoft365 #RDP #BlueTeam #WindowsSecurity #MicrosoftDefender -
New #MicrosoftDefender “#RedSun” zero-day PoC grants SYSTEM privileges
-
New #MicrosoftDefender “#RedSun” zero-day PoC grants SYSTEM privileges
-
https://winbuzzer.com/2026/04/15/microsoft-april-2026-patch-tuesday-fixes-167-flaws-xcxwbn/
Microsoft April 2026 Patch Tuesday Fixes 167 Flaws, 2 Zero-Days
#PatchTuesday #Microsoft #Security #Cybersecurity #ZeroDayVulnerabilities #MicrosoftSharePoint #MicrosoftDefender #Windows #Windows11 #MicrosoftWindows #WindowsUpdate #RemoteCodeExecution
-
Weird Intune/MDE issue 🧵
ASR policy (Block PSExec/WMI) shows 38 Succeeded in Intune, but Get-MpPreference returns empty on endpoints and registry key doesn't exist.
AttackSurfaceReductionRules_ProviderSet = 1 in PolicyManager but no actual rule values written anywhere.
Cloud-only, no SCCM. Anyone seen this? #MicrosoftDefender #Intune #MDE -
Canonical and Microsoft team up to push Ubuntu Pro security deeper into enterprise Linux environments
https://fed.brid.gy/r/https://nerds.xyz/2026/03/canonical-microsoft-ubuntu-pro-defender/
-
Tired of digging through menus just to configure Windows 11 Defender?
DefenderUI gives you a clean, powerful GUI that puts full control of Microsoft Defender at your fingertips, no guesswork, no clutter.
#Windows11 #MicrosoftDefender #DefenderUI #CyberSecurity #Infosec #WindowsSecurity
-
Ranking antywirusów na koniec 2025 roku. Kto daje 100% ochrony, a kto zawodzi?
Laboratorium AV-Comparatives opublikowało wyniki swoich najnowszych, kompleksowych testów oprogramowania zabezpieczającego.
Raporty zamykające rok 2025 przynoszą dobre wieści dla użytkowników darmowych rozwiązań (świetny wynik Microsoft Defender), ale też ostrzeżenie przed produktami, które generują rekordowe liczby fałszywych alarmów.
Najważniejszym sprawdzianem dla każdego pakietu ochronnego jest tzw. Real-World Protection Test. W edycji obejmującej okres od lipca do października 2025 roku badacze sprawdzili 19 popularnych programów na próbce 428 realnych zagrożeń (złośliwe strony, ataki drive-by download).
Elita ze skutecznością 100%
Bezbłędną skutecznością wykazały się trzy pakiety, które zablokowały absolutnie wszystkie próbki złośliwego oprogramowania (100% Protection Rate). Są to:
- Avast (Free Antivirus)
- AVG (AntiVirus Free)
- Norton (Antivirus Plus)
Tuż za nimi, z wynikiem 99,5%, uplasowała się silna grupa pościgowa, w której znalazły się m.in.: Kaspersky, ESET oraz Bitdefender (99,1%). Co istotne dla użytkowników systemu Windows – domyślny Microsoft Defender (standardowe oprogramowanie ochronne w systemie Microsoftu) również trafił do najwyższej kategorii „Advanced+”, osiągając solidne 99,1% skuteczności przy bardzo niskiej liczbie fałszywych alarmów.
Trend Micro i Malwarebytes z problemami
Wysoka wykrywalność to nie wszystko – liczy się też brak pomyłek. W tej kategorii najgorzej wypadł Trend Micro, który aż 75 razy błędnie oznaczył bezpieczne pliki lub strony jako zagrożenie. Słabo pod tym względem zaprezentowały się również Malwarebytes (42 fałszywe alarmy) oraz K7 (34 pomyłki). Z powodu tak dużej liczby błędów, produkty te zostały zdegradowane w rankingu końcowym do niższych kategorii certyfikacji, mimo przyzwoitej skuteczności wykrywania wirusów.
Ochrona zakupów: wykrywanie fałszywych sklepów
W kontekście zbliżających się Świąt, kluczowy jest test Fake Shops Detection 2025. Eksperci sprawdzali, czy antywirusy potrafią uchronić użytkownika przed wejściem na stronę udającą sklep internetowy, której celem jest kradzież danych karty kredytowej. Certyfikat potwierdzający skuteczność w tym obszarze otrzymała wąska grupa produktów:
- Avast Premium Security
- F-Secure Internet Security
- Kaspersky Premium
- Norton 360 Deluxe
Zaawansowane zagrożenia i Stalkerware
Dla najbardziej wymagających użytkowników przeprowadzono test Advanced Threat Protection (ATP), sprawdzający odporność na ataki celowane i bezplikowe. Tutaj rynek konsumencki prezentuje bardzo wysoki poziom – aż 7 z 8 testowanych produktów (w tym wersje darmowe Avast, AVG i Avira) otrzymało najwyższą ocenę „Advanced+”.
Równolegle, we współpracy z Electronic Frontier Foundation (EFF), przetestowano 13 aplikacji mobilnych na Androida pod kątem wykrywania oprogramowania szpiegującego (stalkerware). Raport zwraca uwagę na niepokojący trend rynkowy: sprawcy przemocy domowej coraz częściej porzucają aplikacje szpiegowskie na rzecz tanich lokalizatorów Bluetooth (jak AirTag i podobne), co stanowi nowe wyzwanie dla branży bezpieczeństwa.
Tylko 2% polskich małych firm jest gotowych na atak hakerów. Alarmujący raport Cisco
#avComparatives #avast #falszyweSklepyInternetowe #microsoftDefender #news #norton #rankingAntywirusow2025 #stalkerware #testyBezpieczenstwa
-
Microsoft Teams Flaw in Guest Chat Exposes Users to Malware Attacks https://hackread.com/microsoft-teams-guest-chat-flaw-malware/ #MicrosoftDefender #MicrosoftTeams #Cybersecurity #Vulnerability #Microsoft365 #Microsoft #Security #Malware #Ontinue #Privacy
-
Microsoft Unveils Security Enhancements for Identity, Defense, Compliance https://www.securityweek.com/microsoft-unveils-security-enhancements-for-identity-defense-compliance/ #Management&Strategy #MicrosoftDefender #securityproducts #Microsoft #Copilot #Purview #Intune #Entra
-
Microsoft Defender for Endpoint delivers industry-leading anti-virus protection, but navigating its licensing tiers, pricing models, and feature sets can be incredibly confusing.
Join us today on Defender Fridays with Ken Westin, Senior Solutions Engineer at LimaCharlie, as we break down:
> The differences between the various tiers
> Ways to solve Defender visibility issues and increase operational transparency.
> How its capabilities can be customized and expanded for better flexibility and scalability for service providers
This is an interactive session - bring your questions and let's explore the benefits and drawbacks together.
-
Tomorrow, October 15th at 10am PT - hands-on workshop on Microsoft Defender automation.
We'll demonstrate how to augment Windows Defender Antivirus with centralized management capabilities that eliminate manual processes and accelerate threat detection.
What we'll cover:
> Verify Defender deployment status across your entire Windows infrastructure in seconds
> Capture endpoint security events at wire speed without relying on Microsoft's collection timelines
> Execute AV scans remotely across endpoints or schedule them to run automatically
> Configure detection and response rules tailored to your environment's specific needsFinal reminder: This is a live session and will not be recorded.
-
Want better visibility and control over Microsoft Defender?
We're running a hands-on virtual workshop on augmenting Windows Defender Antivirus with centralized management and automation capabilities using the SecOps Cloud Platform.
Session agenda:
> Gathering telemetry quicker than Microsoft's native collection methods
> Controlling instances across endpoints from a single interface
> Automating log collection at scale
> Enriching detection capabilities with custom rules
> Leveraging data retention to improve investigation speedThis session will not be recorded. Register now: https://limacharlie.wistia.com/live/events/su08f1kjsa?utm_campaign=virtual+workshop+microsoft+defender+10+15+25&utm_source=mastodon&utm_medium=social
-
#Patchday #Microsoft: #Azure, #Office, #Windows :windows: & Co. sind angreifbar | heise online https://www.heise.de/news/Patchday-Microsoft-Schadcode-Schlupfloecher-in-Office-und-Windows-geschlossen-10639037.html #MicrosoftAzure #Azure #MicrosoftDefender #Defender #MicrosoftHyperV #HyperV #MicrosoftOffice #MicrosoftWindows #MicrosoftXbox #Xbox