微软封杀1024位TLS Windows无法再加载过时网络应用

微软封杀1024位TLS Windows无法再加载过时网络应用 最近的变化与即将在 Windows 上淘汰 TLS 1.0 和 1.1有关，该公司于去年 8 月宣布了这一消息，今年早些时候还宣布结束对Azure 存储账户的 TLS 1.0 和 1.1 支持。微软随后也针对前者发出了提醒，因为这是一个重大转变。在此之后，微软现在宣布将很快停止对长度小于 2048 位的 RSA 密钥的支持，这样 TLS 服务器验证会更加安全，因为未来的 Windows 版本会阻止旧的、过时的和潜在的恶意网站和其他基于网络的应用程序。由于当前的现代标准和基于安全的最佳实践建议至少使用 2048 位 RSA（Rivest-Shamir-Adleman）或 256 位 ECDSA（椭圆曲线数字签名算法）加密密钥，因此这一更新早就该进行了。与提供 80 位安全强度的 1024 位 RSA 密钥相比，2048 位密钥提供 112 位安全强度，在这种情况下，更多意味着更好。在其网站上，微软对更新进行了解释：将不再支持使用密钥长度小于 2048 位的 RSA 密钥的证书。互联网标准和监管机构在 2013 年禁止使用 1024 位密钥，并特别建议 RSA 密钥的密钥长度应为 2048 位或更长。此次弃用主要是为了确保用于 TLS 服务器身份验证的所有 RSA 证书的密钥长度必须大于或等于 2048 位，Windows 才能认为其有效。企业或测试认证机构 (CA) 签发的 TLS 证书不受此更改的影响。不过，作为安全最佳实践，我们建议将它们更新为大于或等于 2048 位的 RSA 密钥。这一变更对于保护使用证书进行身份验证和加密的 Windows 客户的安全非常必要。与 TLS 和 RSA 相关的更新并不是微软 唯一的安全变更计划。该公司最近宣布将更新Windows 8 时代的安全启动密钥。最近，这家科技巨头还表示可能会推出更多类似于 TPM 的安全芯片，也许是Pluton 这样的芯片。与此同时，Windows 内核也在进行Rust式改造，以提高内存安全性。 ... PC版： 手机版：

微软警告数千名云服务客户：数据库或被暴露

微软警告数千名云服务客户：数据库或被暴露 据报道，微软的一封电子邮件和一位网络安全研究员表示，该公司在周四警告了数千名云计算客户，包括一些世界上规模最大的企业，入侵者可能有能力阅读、改变甚至删除其主要数据库。 这一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz的一个研究小组发现，它能够访问控制数千家公司持有的数据库访问权的密钥。Wiz公司首席技术官阿米·卢特瓦克（Ami Luttwak）是微软云安全集团的前首席技术官。 由于微软不能自行更改这些密钥，周四该公司给其客户发送了电子邮件，告知他们要创建新的密钥。微软发给Wiz的电子邮件显示，微软同意向Wiz支付4万美元，用于奖励其发现并报告了这一漏洞。 微软发言人拒绝立即就此事置评。 路透社

微软公布 Win10 付费扩展安全更新定价：标准密钥版首年 61 美元

微软公布 Win10 付费扩展安全更新定价：标准密钥版首年 61 美元 对于传统的 5x5 二十五位密钥激活方式，单个设备的首年 ESU 计划定价为 61 美元，该定价将每年翻倍，同时如果用户从第二年开始订阅 ESU 计划，也需补上第一年的费用。 而对于通过 Windows 365 订阅了 Windows 11 云 PC 的 Win 10 设备，ESU 计划将免费自动激活。 对于采用了微软基于云的更新管理方案，即 Windows Autopatch 或 Microsoft Intune 的组织，微软方面给出了 25% 的 Win 10 ESU 定价折扣，这些组织每用户（包含最多 5 台设备许可）的首年订阅费用为 45 美元

微软周四警告其数以千计的云计算客户称，根据一份电邮副本和一位网络安全研究员表示，网络入侵者可能有能力读取、改变甚至删除他们的主数

微软周四警告其数以千计的云计算客户称，根据一份电邮副本和一位网络安全研究员表示，网络入侵者可能有能力读取、改变甚至删除他们的主数据库。这些客户中包括一些全球最大的公司。 该漏洞存在于微软Azure的旗舰产品Cosmos数据库。安全公司Wiz的一个研究团队发现，它能够访问控制数千家公司数据库的密钥。Wiz的首席技术官Ami Luttwak是微软云安全集团的前首席技术官。 由于不能自行更改这些密钥，微软周四向客户发送电邮，告诉他们创建新的密钥。根据微软发给Wiz的电邮，微软同意因Wiz发现并报告该漏洞向其支付40,000美元。 微软发言人没有立即发表评论。 微软给客户的电邮称，已经修复这个漏洞，而且没有证据表明这个漏洞已被利用。路透看到的电邮副本称，“我们没有看到迹象表明研究员（Wiz）以外的外部实体曾经访问过主要的读写密钥。” “这是你能想象的最糟糕的云计算漏洞。这是一个长期存在的秘密，”Luttwak告诉路透社，“这是Azure的中心数据库，我们能够访问我们想要的任何客户数据库。” Luttwak说，他的团队在8月9日发现了这个被称为ChaosDB的问题，并于8月12日通知了微软。 （路透社）

微软员工因安全漏洞泄露公司内部密码

微软员工因安全漏洞泄露公司内部密码 微软解决了将公司内部公司文件和凭据暴露给开放互联网的安全漏洞。SOCRadar 的安全研究人员发现了一个托管在 Microsoft Azure 云服务上的开放公共存储服务器，该服务器存储与微软必应搜索引擎相关的内部信息。Azure 存储服务器包含代码、脚本和配置文件，其中包含微软员工用于访问其他内部数据库和系统的密码、密钥和凭证。但存储服务器本身没有密码保护，互联网上的任何人都可以访问。研究人员于2月6日向微软公司通报了这一安全漏洞后，微软于3月5日修复。

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露 根据分析梅赛德斯奔驰的 GitHub Enterprise Server 上包含大量机密内容：整个源代码知识产权内容用来连接其他服务的字符串AWS/Azure 连接密钥设计蓝图设计文档SSO 密码API 密钥其他关键信息其中 AWS 和 Microsoft Azure 连接密钥则可以用来登录梅赛德斯奔驰在 AWS 和微软托管的服务器，这又可能导致更多私密数据暴露。开发者不慎在 GitHub 上暴露了令牌：GitHub 允许开发者生成身份验证令牌作为替代密码的验证方案，梅赛德斯奔驰的员工不慎在一个公共 GitHub 中暴露了自己的令牌，这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的 GitHub Enterprise Server 并下载所有数据。RedHunt Labs 基于安全验证目的浏览了部分数据，发现里面还包含 AWS 和 Azure 密钥、Postgres 数据库和梅赛德斯的其他源代码等。随后该安全公司通过 TechCrunch 联系梅赛德斯奔驰进行反馈，接到反馈后梅赛德斯奔驰立即确认了问题并撤销了令牌，同时把暴露令牌的整个存储库都删了。是否泄露数据目前还不清楚：扫描显示梅赛德斯奔驰员工是在 2023 年 9 月下旬不慎暴露自己的身份验证令牌，也就是说到撤销的时候已经有几个月，这几个月难免会有其他黑客扫描到令牌进而窃取了所有数据。遗憾的是梅赛德斯奔驰拒绝透露是否知道任何第三方访问了暴露的数据，或者说没人知道该公司有没有能力检查数据遭到异常访问，这可能需要完整的排查过去几个月的日志。 ... PC版： 手机版：