Azure云帐户因配置谬误泄露微软多款产品的源代码；Microsoft Teams由于配置更改再次中断，影响全球用户

首页 > 安全钻研 > 安全传递 > 安全简讯

Azure云帐户因配置谬误泄露微软多款产品的源代码；Microsoft Teams由于配置更改再次中断，影响全球用户

颁布功夫 2021-04-29

1.Azure云帐户因配置谬误泄露微软多款产品的源代码

vpnMentor钻研团队发现一个配置谬误的Microsoft Azure Blob云帐户泄露了微软多款产品的源代码。泄露数据的总大幼为63GB，蕴含超过3800个文件，涉及上百家公司的融资演讲稿和10-15种产品的源代码，于2021年1月7日被发现并已在2021年2月23日得到�；�。这些文件为多多公司向Microsoft Dynamics做出的一系列贸易宣传和产品注明，可能来自微软公司。

原文链接：

https://www.vpnmentor.com/blog/report-microsoft-dynamics-leak/

2.云提供商DigitalOcean称遭到攻击，客户帐户信息泄露

云托管提供商DigitalOcean称遭到攻击，部门客户的帐户信息泄露。DigitalOcean向受影响客户发送邮件，称在2021年4月9日至2021年4月22日之间，未经授权的用户利用一个缝隙接见了部门用户的账单信息，此刻该缝隙已被建复。这次泄露的信息蕴含客户的账单名称、账单地址、信誉卡到期功夫、信誉卡的后四位数字以及信誉卡的银行名称。DigitalOcean在去年也产生了数据泄露，是由于公开链接中蕴含了客户帐户信息的文档。

原文链接：

https://www.bleepingcomputer.com/news/security/digitalocean-data-breach-exposes-customer-billing-information/

3.Microsoft Teams由于配置更改再次中断，影响全球用户

Microsoft Teams再次产生服务中断，影响全球领域内的用户。这次中断产生在4月27日UTC功夫9:58和12:05之间，用户无法发送和接管新闻、参与频路、参与谈天和旁观频路。经调查，Microsoft确认这是由最近的配置更改引起的，更改导致特定职能设置中的值谬误，从而对服务造成影响，问题现已建复。在本月初，由于DNS查问异常激增使Azure DNS服务器超载，导致了Microsoft Teams等多多服务在全球领域内里断。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-teams-worldwide-outage-impacts-user-logins-chats/

4.Armorblox披露针对摩根大通银行客户的垂钓攻击活动

Armorblox钻研人员披露近期针对摩根大通银行客户的垂钓攻击活动。这些活动都选取了社会工程攻击和假意品牌的战术，并利用了一系列技术来绕过电子邮件安全过滤器，贪图窃取客户的登录痛处。一部门攻击假意Jp Morgan Chase，以“您的信誉卡对帐单已筹备就绪”为题，诱使指标点击假装成未支付账单的链接并输入银行痛处。另一些攻击假意银行的防诓骗部门，以“垂危：异常的登录活动”为标题标邮件窃取银行痛处。

原文链接：

https://www.infosecurity-magazine.com/news/threat-actors-impersonate-chase/

5.软件包治理器CocoaPods存在RCE缝隙，300多万个利用受影响

钻研员Max Justicz发现软件包治理器CocoaPods存在RCE缝隙，可能影响Signal等300多万个利用。CocoaPods是使用Ruby构建的利用法式级依赖关系治理器，提供了一种尺度体式来治理表部库。攻击者在上传包的规格到CocoaPods时，可齐全节造@specification.source[:git]和ref.to_，因而在拥有Trunk key（规格库）的CocoaPods服务器能够远程执行代码。钻研员称该缝隙已经存在6年（初次呈此刻2015年6月4日），直到最近才被建复。

原文链接：

https://latesthackingnews.com/2021/04/27/cocoapods-rce-vulnerability-could-risk-3-million-mobile-apps-including-signal/

6.CISA和NIST结合颁布有关招架软件供给链攻击的指南

CISA和美国国度尺度技术钻研院（NIST）结合颁布了有关招架软件供给链攻击的指南。该指南概述了软件供给链的风险，以及软件客户和供给商若何使用NIST网络供给链风险治理(C-SCRM)框架和安全软件开发框架(SSDF)来鉴别、评估缓和解软件供给链风险的建议。此表，该指南为软件客户和供给商提供了预防、缓解和复原软件供给链攻击的关键步骤和深刻的建议。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2021/04/26/cisa-and-nist-release-new-interagency-resource-defending-against

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研