微软封杀1024位TLS Windows无法再加载过时网络应用

微软封杀1024位TLSWindows无法再加载过时网络应用最近的变化与即将在Windows上淘汰TLS1.0和1.1有关，该公司于去年8月宣布了这一消息，今年早些时候还宣布结束对Azure存储账户的TLS1.0和1.1支持。微软随后也针对前者发出了提醒，因为这是一个重大转变。在此之后，微软现在宣布将很快停止对长度小于2048位的RSA密钥的支持，这样TLS服务器验证会更加安全，因为未来的Windows版本会阻止旧的、过时的和潜在的恶意网站和其他基于网络的应用程序。由于当前的现代标准和基于安全的最佳实践建议至少使用2048位RSA（Rivest-Shamir-Adleman）或256位ECDSA（椭圆曲线数字签名算法）加密密钥，因此这一更新早就该进行了。与提供80位安全强度的1024位RSA密钥相比，2048位密钥提供112位安全强度，在这种情况下，更多意味着更好。在其网站上，微软对更新进行了解释：将不再支持使用密钥长度小于2048位的RSA密钥的证书。互联网标准和监管机构在2013年禁止使用1024位密钥，并特别建议RSA密钥的密钥长度应为2048位或更长。此次弃用主要是为了确保用于TLS服务器身份验证的所有RSA证书的密钥长度必须大于或等于2048位，Windows才能认为其有效。企业或测试认证机构(CA)签发的TLS证书不受此更改的影响。不过，作为安全最佳实践，我们建议将它们更新为大于或等于2048位的RSA密钥。这一变更对于保护使用证书进行身份验证和加密的Windows客户的安全非常必要。与TLS和RSA相关的更新并不是微软唯一的安全变更计划。该公司最近宣布将更新Windows8时代的安全启动密钥。最近，这家科技巨头还表示可能会推出更多类似于TPM的安全芯片，也许是Pluton这样的芯片。与此同时，Windows内核也在进行Rust式改造，以提高内存安全性。...PC版：https://www.cnbeta.com.tw/articles/soft/1423917.htm手机版：https://m.cnbeta.com.tw/view/1423917.htm

微软警告数千名云服务客户：数据库或被暴露

微软警告数千名云服务客户：数据库或被暴露据报道，微软的一封电子邮件和一位网络安全研究员表示，该公司在周四警告了数千名云计算客户，包括一些世界上规模最大的企业，入侵者可能有能力阅读、改变甚至删除其主要数据库。这一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz的一个研究小组发现，它能够访问控制数千家公司持有的数据库访问权的密钥。Wiz公司首席技术官阿米·卢特瓦克（AmiLuttwak）是微软云安全集团的前首席技术官。由于微软不能自行更改这些密钥，周四该公司给其客户发送了电子邮件，告知他们要创建新的密钥。微软发给Wiz的电子邮件显示，微软同意向Wiz支付4万美元，用于奖励其发现并报告了这一漏洞。微软发言人拒绝立即就此事置评。——路透社

微软公布 Windows 10 付费扩展安全更新定价：标准密钥版首年 61 美元

微软公布Windows10付费扩展安全更新定价：标准密钥版首年61美元微软早前已宣布将于2025年10月14日停止对绝大多数Windows10版本的安全更新和技术支持。不过微软也于去年底表示，企业和个人用户可通过付费订阅最多3年的扩展安全更新（ESU，ExtendedSecurityUpdates）计划。微软公布了Windows10ESU计划定价。对于传统的密钥激活方式，单个设备的首年ESU计划定价为61美元。类似于当年的Windows7ESU计划，该定价将每年翻倍，同时如果用户从第二年开始订阅ESU计划，也需补上第一年的费用。线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

微软提醒：Windows Server 2012将于10月结束支持

微软提醒：WindowsServer2012将于10月结束支持而在今年的10月10日后，WindowsServer2012的扩展支持也将正式终止。这意味着，该系统将不再收到包括安全更新、非安全更新、技术支持与在线技术内容更新在内的，所有更新支持与维护。因为，微软希望仍在使用WindowsServer2012/2012R2的管理员，尽快升级到WindowsServer2022，以获得更新支持。此外，管理员也可以选择将数据库和应用程序迁移至Azure虚拟机，这将在支持结束后为他们提供三年的免费ESU。需要注意的是，除了WindowsServer2012，WindowsServer2008也将在今年1月10日结束支持。...PC版：https://www.cnbeta.com.tw/articles/soft/1337667.htm手机版：https://m.cnbeta.com.tw/view/1337667.htm

微软MSRC发文介绍中国黑客组织如何访问美国与西欧政府电子邮件帐户

微软MSRC发文介绍中国黑客组织如何访问美国与西欧政府电子邮件帐户阅读原文：https://www.neowin.net/news/microsoft-explains-how-a-chinese-hacker-group-was-able-to-access-government-email-accounts/微软对MSA（微软账户）密钥的获取方式以及消费者密钥如何访问企业Outlook电子邮件账户展开了调查。本周，该公司在其微软安全响应中心网站上公布了调查结果。微软表示，两年多前发生的一起事件是导致该组织获得MSA密钥的原因：我们的调查发现，2021年4月的一次消费者签名系统崩溃导致了崩溃进程的快照（"崩溃转储"）。崩溃转储是对敏感信息的删减，不应包括签名密钥。在这种情况下，竞赛条件允许密钥出现在崩溃转储中（此问题已得到纠正）。我们的系统没有检测到崩溃转储中存在密钥材料。微软补充说，崩溃转储数据随后被从"隔离的生产网络转移到我们在连接互联网的公司网络上的调试环境中"，这是标准程序。但是，对崩溃转储数据的扫描没有检测到MSA密钥。微软表示，这一点也已得到修复。该公司认为，Storm-0558是通过入侵微软一名工程师的公司账户，从崩溃转储数据中获取MSA密钥的。目前还没有直接证据表明特定账户被入侵，但微软确实认为"这是该行为者获取密钥的最有可能的机制"。最后，该公司认为Storm-0558能够复制MSA密钥并将其转化为用于访问企业电子邮件帐户的密钥，是因为在更新API时出现了错误：作为预先存在的文档库和辅助API的一部分，微软提供了一个API来帮助加密验证签名，但没有更新这些库以自动执行此范围验证（此问题已得到纠正）。邮件系统已于2022年更新为使用通用元数据端点。邮件系统的开发人员错误地认为库执行了完整的验证，而没有添加所需的签发人/范围验证。因此，邮件系统会接受使用消费者密钥签名的安全令牌发送企业电子邮件的请求（这个问题已通过使用更新的库得到纠正）。政府电子邮件账户黑客事件被发现后，微软阻止了MSA密钥的使用，同时也阻止了使用该密钥签发的令牌。今年8月，美国政府的网络安全审查委员会（CSRB）宣布将对该事件进行调查。这将是对黑客攻击云计算系统和公司的总体调查的一部分。...PC版：https://www.cnbeta.com.tw/articles/soft/1382225.htm手机版：https://m.cnbeta.com.tw/view/1382225.htm

微软员工因安全漏洞泄露公司内部密码

微软员工因安全漏洞泄露公司内部密码微软解决了将公司内部公司文件和凭据暴露给开放互联网的安全漏洞。SOCRadar的安全研究人员发现了一个托管在MicrosoftAzure云服务上的开放公共存储服务器，该服务器存储与微软必应搜索引擎相关的内部信息。Azure存储服务器包含代码、脚本和配置文件，其中包含微软员工用于访问其他内部数据库和系统的密码、密钥和凭证。但存储服务器本身没有密码保护，互联网上的任何人都可以访问。研究人员于2月6日向微软公司通报了这一安全漏洞后，微软于3月5日修复。——