Azure云帐户因配置错误泄露微软多款产物的源代码;Microsoft Teams由于配置更改再次中断 ,影响全球用户

宣布时间 2021-04-29

1.Azure云帐户因配置错误泄露微软多款产物的源代码


1.jpg


vpnMentor研究团队发现一个配置错误的Microsoft Azure Blob云帐户泄露了微软多款产物的源代码。泄露数据的总巨细为63GB ,包罗凌驾3800个文件 ,涉及上百家公司的融资演讲稿和10-15种产物的源代码 ,于2021年1月7日被发现并已在2021年2月23日得到�;�。这些文件为众多公司向Microsoft Dynamics做出的一系列商业宣传和产物说明 ,可能来自微软公司。


原文链接:

https://www.vpnmentor.com/blog/report-microsoft-dynamics-leak/


2.云提供商DigitalOcean称遭到攻击 ,客户帐户信息泄露


2.jpg


云托管提供商DigitalOcean称遭到攻击 ,部门客户的帐户信息泄露。DigitalOcean向受影响客户发送邮件 ,称在2021年4月9日至2021年4月22日之间 ,未经授权的用户利用一个漏洞访问了部门用户的账单信息 ,现在该漏洞已被修复。此次泄露的信息包罗客户的账单名称、账单地址、信用卡到期时间、信用卡的后四位数字以及信用卡的银行名称。DigitalOcean在去年也发生了数据泄露 ,是由于果然链接中包罗了客户帐户信息的文档。


原文链接:

https://www.bleepingcomputer.com/news/security/digitalocean-data-breach-exposes-customer-billing-information/    


3.Microsoft Teams由于配置更改再次中断 ,影响全球用户


3.jpg


Microsoft Teams再次发生服务中断 ,影响全球范围内的用户。此次中断发生在4月27日UTC时间9:58和12:05之间 ,用户无法发送和接收消息、加入频道、加入聊天和寓目频道。经视察 ,Microsoft确认这是由最近的配置更改引起的 ,更改导致特定功效设置中的值错误 ,从而对服务造成影响 ,问题现已修复。在本月初 ,由于DNS查询异常激增使Azure DNS服务器超载 ,导致了Microsoft Teams等众多服务在全球范围内中断。


原文链接:

https://www.bleepingcomputer.com/news/microsoft/microsoft-teams-worldwide-outage-impacts-user-logins-chats/


4.Armorblox披露针对摩根大通银行客户的钓鱼攻击活动


4.jpg


Armorblox研究人员披露近期针对摩根大通银行客户的钓鱼攻击活动。这些活动都接纳了社会工程攻击和冒充品牌的计谋 ,并利用了一系列技术来绕过电子邮件宁静过滤器 ,企图窃取客户的登录凭据。一部门攻击冒充Jp Morgan Chase ,以“您的信用卡对帐单已准备就绪”为题 ,诱使目标点击伪装成未支付账单的链接并输入银行凭据。另一些攻击冒充银行的防欺诈部门 ,以“紧急:异常的登录活动”为标题的邮件窃取银行凭据。


原文链接:

https://www.infosecurity-magazine.com/news/threat-actors-impersonate-chase/


5.软件保证理器CocoaPods存在RCE漏洞 ,300多万个应用受影响


5.jpg


研究员Max Justicz发现软件保证理器CocoaPods存在RCE漏洞 ,可能影响Signal等300多万个应用。CocoaPods是使用Ruby构建的应用法式级依赖关系管理器 ,提供了一种尺度格式来管理外部库。攻击者在上传包的规格到CocoaPods时 ,可完全控制@specification.source[:git]和ref.to_ ,因此在具有Trunk key(规格库)的CocoaPods服务器可以远程执行代码。研究员称该漏洞已经存在6年(首次泛起在2015年6月4日) ,直到最近才被修复。


原文链接:

https://latesthackingnews.com/2021/04/27/cocoapods-rce-vulnerability-could-risk-3-million-mobile-apps-including-signal/


6.CISA和NIST联合宣布有关抵御软件供应链攻击的指南


6.jpg


CISA和美国国家尺度技术研究院(NIST)联合宣布了有关抵御软件供应链攻击的指南。该指南概述了软件供应链的风险 ,以及软件客户和供应商如何使用NIST网络供应链风险管理(C-SCRM)框架和宁静软件开发框架(SSDF)来识别、评估和缓解软件供应链风险的建议。此外 ,该指南为软件客户和供应商提供了预防、缓解和恢复软件供应链攻击的要害步骤和深入的建议。


原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2021/04/26/cisa-and-nist-release-new-interagency-resource-defending-against