| Entra ID | UnOAuthorized | OAuth 2.0 | Black Hat USA 2024
研究人員揭露微軟Entra ID隱藏的身分驗證機制弱點UnOAuthorized,恐讓攻擊者取得全域管理員權限
研究人員在上週黑帽大會揭露存在於Entra ID的OAuth弱點UnOAuthorized,並指出攻擊者有機會利用企業社群平臺Viva Engage(原名Yammer)、權限管理服務RMS、設備註冊服務來產生新的全域管理員帳號
2024-08-15
| AWS | Bucket Monopoly | Shadow Resources | Black Hat USA 2024
系統背景自動產生的影子資源恐出現弱點!研究人員揭AWS服務存在Bucket Monopoly、Shadow Resources漏洞
有研究人員指出,使用者在AWS建立特定服務的過程中,系統於背景自動產生的S3儲存桶名稱,讓攻擊者有可乘之機,藉由在不同地區搶先註冊指定帳號,從而有機會對目標用戶下手
2024-08-09
| Windows Update | Microsoft Update | CVE-2024-21302 | CVE-2024-38202 | Black Hat USA 2024 | DEF CON 32 | Downgrade
研究人員揭露Windows更新機制缺陷,並宣稱能重新引入已修補漏洞
資安業者SafeBreach今年初發現濫用視窗作業系統自動更新機制Microsoft Update「降級」系統元件的攻擊手法,並將於Black Hat USA 2024、DEF CON 32兩場資安會議上介紹相關細節
2024-08-08