資安

10月16日公布的CVE-2023-20198影響執行IOS XE作業系統、同時啟用HTTP或HTTPS伺服器功能的實體或虛擬裝置，9月中旬已出現針對該漏洞的攻擊活動

繼有人利用微軟Teams散布惡意程式DarkGate之後，最近研究人員發現，也有攻擊者將Skype做為散布這個惡意軟體的管道

隨著各種可繞過身分驗證安全協定NTLM之中繼攻擊的現身，微軟透過擴張Kerberos的能力等措施來減少NTLM使用情境，以逐步達成關閉NTLM的目標

在這一週持續有多個零時差漏洞利用消息受關注，其中HTTP/2通訊協定的零時差漏洞影響甚廣，許多廠商與業者已在開發修補程式或實施緩解機制；在資安威脅焦點上，有資安業者揭露全新的APT攻擊組織Grayling的攻擊手法，特別的是，該組織曾在今年2到5月鎖定臺灣的生醫產業、製造業、IT產業

近日美國NSA與CISA釋出最常見10大配置錯誤的資安報告，這不僅說明了許多大型企業組織的系統性通用弱點趨勢，更深的用意在於，強調軟體製造商採用設計安全原則的重要性，始能減輕藍隊防守負擔。由於近年臺灣也在推動打造可信供應鏈，因此這方面的內容也很值得我們參考借鏡

美國CISA、NSA、DHS聯合公布最常見10大配置錯誤的資安風險報告，指出這些問題使駭客更容易發動攻擊，需要網路防禦者與軟體製造商共同正視，報告中並提供了如何應對的具體建議。

如何只靠7成資源，發揮12分的效果？只有優先強化自己資安防護中最薄弱的一環，這往往是最容易出現資安破口的地方

微軟針對旗下AI服務祭出漏洞獎勵計畫，對外徵求能夠從Bing Chat、Bing Image Creator等基於AI的Bing服務中，找出符合該公司所定義的重要或重大等級漏洞的研究發現