Azure云帐户因配置错误泄露微软多款产物的源代码；Microsoft Teams由于配置更改再次中断，影响全球用户

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Azure云帐户因配置错误泄露微软多款产物的源代码；Microsoft Teams由于配置更改再次中断，影响全球用户

宣布时间 2021-04-29

1.Azure云帐户因配置错误泄露微软多款产物的源代码

vpnMentor研究团队发现一个配置错误的Microsoft Azure Blob云帐户泄露了微软多款产物的源代码。泄露数据的总巨细为63GB，包罗凌驾3800个文件，涉及上百家公司的融资演讲稿和10-15种产物的源代码，于2021年1月7日被发现并已在2021年2月23日得到�；�。这些文件为众多公司向Microsoft Dynamics做出的一系列商业宣传和产物说明，可能来自微软公司。

原文链接：

https://www.vpnmentor.com/blog/report-microsoft-dynamics-leak/

2.云提供商DigitalOcean称遭到攻击，客户帐户信息泄露

云托管提供商DigitalOcean称遭到攻击，部门客户的帐户信息泄露。DigitalOcean向受影响客户发送邮件，称在2021年4月9日至2021年4月22日之间，未经授权的用户利用一个漏洞访问了部门用户的账单信息，现在该漏洞已被修复。此次泄露的信息包罗客户的账单名称、账单地址、信用卡到期时间、信用卡的后四位数字以及信用卡的银行名称。DigitalOcean在去年也发生了数据泄露，是由于果然链接中包罗了客户帐户信息的文档。

原文链接：

https://www.bleepingcomputer.com/news/security/digitalocean-data-breach-exposes-customer-billing-information/

3.Microsoft Teams由于配置更改再次中断，影响全球用户

Microsoft Teams再次发生服务中断，影响全球范围内的用户。此次中断发生在4月27日UTC时间9:58和12:05之间，用户无法发送和接收消息、加入频道、加入聊天和寓目频道。经视察，Microsoft确认这是由最近的配置更改引起的，更改导致特定功效设置中的值错误，从而对服务造成影响，问题现已修复。在本月初，由于DNS查询异常激增使Azure DNS服务器超载，导致了Microsoft Teams等众多服务在全球范围内中断。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-teams-worldwide-outage-impacts-user-logins-chats/

4.Armorblox披露针对摩根大通银行客户的钓鱼攻击活动

Armorblox研究人员披露近期针对摩根大通银行客户的钓鱼攻击活动。这些活动都接纳了社会工程攻击和冒充品牌的计谋，并利用了一系列技术来绕过电子邮件宁静过滤器，企图窃取客户的登录凭据。一部门攻击冒充Jp Morgan Chase，以“您的信用卡对帐单已准备就绪”为题，诱使目标点击伪装成未支付账单的链接并输入银行凭据。另一些攻击冒充银行的防欺诈部门，以“紧急：异常的登录活动”为标题的邮件窃取银行凭据。

原文链接：

https://www.infosecurity-magazine.com/news/threat-actors-impersonate-chase/

5.软件保证理器CocoaPods存在RCE漏洞，300多万个应用受影响

研究员Max Justicz发现软件保证理器CocoaPods存在RCE漏洞，可能影响Signal等300多万个应用。CocoaPods是使用Ruby构建的应用法式级依赖关系管理器，提供了一种尺度格式来管理外部库。攻击者在上传包的规格到CocoaPods时，可完全控制@specification.source[:git]和ref.to_，因此在具有Trunk key（规格库）的CocoaPods服务器可以远程执行代码。研究员称该漏洞已经存在6年（首次泛起在2015年6月4日），直到最近才被修复。

原文链接：

https://latesthackingnews.com/2021/04/27/cocoapods-rce-vulnerability-could-risk-3-million-mobile-apps-including-signal/

6.CISA和NIST联合宣布有关抵御软件供应链攻击的指南

CISA和美国国家尺度技术研究院（NIST）联合宣布了有关抵御软件供应链攻击的指南。该指南概述了软件供应链的风险，以及软件客户和供应商如何使用NIST网络供应链风险管理(C-SCRM)框架和宁静软件开发框架(SSDF)来识别、评估和缓解软件供应链风险的建议。此外，该指南为软件客户和供应商提供了预防、缓解和恢复软件供应链攻击的要害步骤和深入的建议。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2021/04/26/cisa-and-nist-release-new-interagency-resource-defending-against

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究