微软警告数千名云服务客户：数据库或被暴露

微软警告数千名云服务客户：数据库或被暴露 据报道，微软的一封电子邮件和一位网络安全研究员表示，该公司在周四警告了数千名云计算客户，包括一些世界上规模最大的企业，入侵者可能有能力阅读、改变甚至删除其主要数据库。 这一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz的一个研究小组发现，它能够访问控制数千家公司持有的数据库访问权的密钥。Wiz公司首席技术官阿米·卢特瓦克（Ami Luttwak）是微软云安全集团的前首席技术官。 由于微软不能自行更改这些密钥，周四该公司给其客户发送了电子邮件，告知他们要创建新的密钥。微软发给Wiz的电子邮件显示，微软同意向Wiz支付4万美元，用于奖励其发现并报告了这一漏洞。 微软发言人拒绝立即就此事置评。 路透社

微软员工因安全漏洞泄露公司内部密码

微软员工因安全漏洞泄露公司内部密码 微软解决了将公司内部公司文件和凭据暴露给开放互联网的安全漏洞。SOCRadar 的安全研究人员发现了一个托管在 Microsoft Azure 云服务上的开放公共存储服务器，该服务器存储与微软必应搜索引擎相关的内部信息。Azure 存储服务器包含代码、脚本和配置文件，其中包含微软员工用于访问其他内部数据库和系统的密码、密钥和凭证。但存储服务器本身没有密码保护，互联网上的任何人都可以访问。研究人员于2月6日向微软公司通报了这一安全漏洞后，微软于3月5日修复。

微软人工智能研究人员在 GitHub 上发布开源训练数据时，意外暴露了数十 TB 的敏感数据，包括私钥和密码

微软人工智能研究人员在 GitHub 上发布开源训练数据时，意外暴露了数十 TB 的敏感数据，包括私钥和密码 在与 TechCrunch 分享的研究中，云安全初创公司 Wiz表示，作为其对云端数据意外暴露问题的持续研究的一部分，他们发现了一个属于微软人工智能研究部门的 GitHub 存储库。 该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型，访问者被指示从 Azure 存储 URL 下载模型。然而，Wiz 发现该 URL 被配置为授予整个存储帐户的权限，从而错误地暴露了其他私人数据。 这些数据包括 38 TB 的敏感信息，其中包括两名 Microsoft 员工个人计算机的个人备份。这些数据还包含其他敏感个人数据，包括 Microsoft 服务的密码、密钥以及来自数百名 Microsoft 员工的 30,000 多条内部 Microsoft Teams 消息。 据 Wiz 称，该 URL 自 2020 年起就暴露了这些数据，该 URL 也被错误配置为允许“完全控制”而不是“只读”权限，这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。 Wiz 指出，存储帐户并未直接公开。相反，Microsoft AI 开发人员在 URL 中包含了过于宽松的共享访问签名 (SAS) 令牌。SAS 令牌是 Azure 使用的一种机制，允许用户创建可共享链接，授予对 Azure 存储帐户数据的访问权限。 Wiz 表示，它于 6 月 22 日与微软分享了调查结果，两天后，即 6 月 24 日，微软撤销了 SAS 令牌。微软表示，它于 8 月 16 日完成了对潜在组织影响的调查。

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露 根据分析梅赛德斯奔驰的 GitHub Enterprise Server 上包含大量机密内容：整个源代码知识产权内容用来连接其他服务的字符串AWS/Azure 连接密钥设计蓝图设计文档SSO 密码API 密钥其他关键信息其中 AWS 和 Microsoft Azure 连接密钥则可以用来登录梅赛德斯奔驰在 AWS 和微软托管的服务器，这又可能导致更多私密数据暴露。开发者不慎在 GitHub 上暴露了令牌：GitHub 允许开发者生成身份验证令牌作为替代密码的验证方案，梅赛德斯奔驰的员工不慎在一个公共 GitHub 中暴露了自己的令牌，这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的 GitHub Enterprise Server 并下载所有数据。RedHunt Labs 基于安全验证目的浏览了部分数据，发现里面还包含 AWS 和 Azure 密钥、Postgres 数据库和梅赛德斯的其他源代码等。随后该安全公司通过 TechCrunch 联系梅赛德斯奔驰进行反馈，接到反馈后梅赛德斯奔驰立即确认了问题并撤销了令牌，同时把暴露令牌的整个存储库都删了。是否泄露数据目前还不清楚：扫描显示梅赛德斯奔驰员工是在 2023 年 9 月下旬不慎暴露自己的身份验证令牌，也就是说到撤销的时候已经有几个月，这几个月难免会有其他黑客扫描到令牌进而窃取了所有数据。遗憾的是梅赛德斯奔驰拒绝透露是否知道任何第三方访问了暴露的数据，或者说没人知道该公司有没有能力检查数据遭到异常访问，这可能需要完整的排查过去几个月的日志。 ... PC版： 手机版：

微软被发现重大漏洞，黑客能够改变 Bing 搜索结果和主页内容，并且能够读取 Office 365 用户的数据

微软被发现重大漏洞，黑客能够改变 Bing 搜索结果和主页内容，并且能够读取 Office 365 用户的数据 Wiz Research 在 Azure Active Directory 中发现了一种新的攻击媒介，它会将配置错误的应用程序暴露给未经授权的访问。 我们（指 Wiz Research ）发现了几个具有高影响力且易受攻击的 Microsoft 应用程序。其中一个应用程序是内容管理系统 (CMS)，它为 提供支持，使我们不仅可以修改搜索结果，还可以对 Bing 用户发起高影响 XSS 攻击。这些攻击可能会损害用户的个人数据，包括 Outlook 电子邮件和 SharePoint 文档。 在这篇中，我们将展示 Microsoft 本身如何成为 AAD 配置挑战的牺牲品，并无意中将内部应用程序暴露给外部攻击者。这些应用程序允许我们查看和更改各种类型的敏感 Microsoft 数据。在一个特定案例中，我们能够操纵上的搜索结果并对 Bing 用户执行 XSS 攻击，从而可能暴露客户的 Office 365 数据，例如电子邮件、聊天和文档。此博客还将提供有关错误配置的详细信息，以及如何在您的环境中检测和缓解它们。

| #工具该框架围绕四个通用漏洞识别概念构建：漏洞数据库、网络漏洞扫描、基于代理的发现和自定义评估器分析。Sirius 希望通过

| #工具 该框架围绕四个通用漏洞识别概念构建：漏洞数据库、网络漏洞扫描、基于代理的发现和自定义评估器分析。Sirius 希望通过将这些功能与易于使用的界面结合起来，推动行业发展。 该系统由以下服务组成： Mongo：用于存储数据的NoSQL数据库。 RabbitMQ：用于管理服务之间通信的消息代理。 Sirius API：API 服务提供对 Mongo 中存储的数据的访问。 Sirius Web：Web UI，允许用户查看和管理他们的数据管道。 Sirius Engine：管理数据管道执行的引擎服务。