HackerNews 编译，转载请注明出处： 微软承诺在宣布一套“主权云”解决方案后，确保欧洲的云数据将在欧洲境内存储和处理。这些解决方案将确保欧洲客户数据留在欧洲，帮助满足合规性和安全性要求。只有位于欧洲的微软员工才能远程访问这些系统。 该方案旨在缓解欧洲云数据和服务可能受其他地区（包括美国）访问或关停要求的担忧。2025年2月，美国总统特朗普签署备忘录，承诺防止外国政府和企业对美国公司实施“歧视”。备忘录特别提到影响美国公司的罚款、措施和政策，并明确提及英国和欧盟。 此次最新声明发布前，微软于4月公布计划，将在未来两年内将欧洲数据中心容量提升40%，包括推出专为欧洲需求定制的主权和公共云模型。微软总裁布拉德·史密斯在4月的公告博文中强调，公司承诺保护欧洲免受外国政府要求的影响：“若任何政府命令微软暂停或终止在欧洲的云服务（尽管可能性极低），我们承诺将立即通过所有法律途径（包括向法院提起诉讼）积极抗辩。” 方案核心内容 6月16日发布的微软主权云解决方案涵盖公共云和私有云基础设施，包含三大支柱：主权公共云、主权私有云和国家合作伙伴云。 主权公共云：将根据特定区域需求配置，无需迁移至专用数据中心，计划2025年下半年在所有欧洲云区域全面推出。新增“数据卫士”功能，要求微软工程师对欧洲数据处理系统的所有远程访问需经欧洲常驻人员实时批准并受其监控。该方案还通过允许客户将Azure连接至其本地硬件安全模块（HSM）或可信第三方托管的密钥，实现加密控制。 主权私有云：将在客户本地部署微软云服务，帮助满足特定数据驻留和主权要求，包含计算、存储、网络和虚拟化等核心Azure功能，今年晚些推出。 国家合作伙伴云：已在法国和德国落地，通过与Orange、Capgemini合资企业Bleu（法国）及SAP子公司Delos Cloud（德国）合作，为公共部门和关键服务提供本地化隔离基础设施。 欧洲主权承诺遭质疑 欧洲数字工作平台Wire首席执行官本杰明·席尔茨对此提出质疑，认为解决方案未必能真正保护欧洲云数据免受外国政府干预：“问题不在意图，而在于现实——任何美国软件公司都可能被法律强制要求实施监控甚至任意中断服务。微软源代码未开源，鉴于法律现实，美国政府完全可以要求微软植入后门获取加密密钥、客户数据及元数据。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全企业Check Point研究人员发现微软Windows存在高危零日漏洞，该漏洞已被长期活跃的黑客组织用于攻击非洲和中东政府目标。微软于6月补丁日紧急修复该漏洞（编号CVE-2025-33053），该漏洞现已被美国网络安全和基础设施安全局列入高危漏洞目录，严重性评分达8.8分（满分10分）。 该漏洞存在于Windows内置的Web分布式创作与版本管理（WebDAV）组件中。该HTTP协议扩展允许用户远程管理服务器文件，广泛用于文档管理系统及协作平台。攻击者可通过精心构造的URL链接触发漏洞，当用户点击恶意链接时，攻击者即可远程执行代码。 Check Point在调查2025年3月土耳其某大型国防机构遭攻击事件时首次发现该漏洞利用。攻击始于伪装成军事装备损坏PDF文档的.url快捷文件，该文件疑似通过钓鱼邮件传播，使黑客能静默执行其远程服务器代码。攻击链中部署了名为Horus加载器和Horus代理的定制化工具，具备间谍活动与安全工具规避能力。 经技术溯源，Check Point将攻击归因于黑客组织Stealth Falcon（又名FruityArmor）。该组织至少自2012年起活跃，长期针对中东和非洲地区的政府及国防部门实施网络间谍活动。其攻击特点包括：获取零日漏洞利用工具、开发定制化恶意载荷、使用鱼叉式钓鱼邮件攻击土耳其、卡塔尔、埃及和也门的高价值目标。 Check Point在技术报告中指出：“Stealth Falcon持续进化，通过结合零日漏洞利用、合法工具、多阶段加载器和定制化植入程序，构建出极具韧性的攻击链条。”该组织展现出专业级APT组织的资源投入和技术特征，其最新攻击活动再次印证了这种威胁演进趋势。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度中央调查局（CBI）宣布，已逮捕6名犯罪嫌疑人并捣毁两个非法呼叫中心，该团伙涉嫌针对日本公民实施复杂的跨国技术支持诈骗。 该执法机构表示，作为打击网络金融犯罪的“查克拉五号行动”（Operation Chakra V）的一部分，其于2025年5月28日协调搜查了德里、哈里亚纳邦和北方邦的19个地点。 据CBI称，这些网络犯罪集团主要针对日本公民，冒充包括微软在内的多家跨国公司的技术支持人员实施诈骗。该机构称：“该集团运营的呼叫中心伪装成合法客服中心，诱使受害者相信其电子设备已遭入侵，并以此为由胁迫受害者将资金转入骡子账户（mule accounts）。” 当局表示，他们与日本国家警察厅及微软公司合作，得以追踪该诈骗计划的实施者及其运作架构。此外，执法人员还查获了电脑、存储设备、数字录像机（DVR）和手机等关键物证。 CBI指出，该犯罪集团利用先进的社会工程技术及“技术欺诈手段”欺骗受害者，以虚假借口骗取钱财。 微软的Steven Masada表示：“随着网络犯罪即服务（cybercrime-as-a-service）的发展，网络犯罪分子之间的联系日益增强且全球化，我们必须持续审视这些犯罪者运作的整个生态系统，并与多个国际伙伴协调，以切实应对网络犯罪。” 微软进一步透露，其一直与日本网络犯罪管控中心（JC3）密切合作，共同打击虚假技术支持诈骗，自2024年5月以来已在全球范围内清除约66,000个恶意域名和URL。 此次跨部门协作使得识别这些诈骗活动背后的更广泛网络成为可能，该网络包括弹窗制作方、搜索引擎优化者、潜在客户信息提供方、物流与技术供应商、支付处理方以及人才提供方。“这些犯罪者利用生成式人工智能扩大其犯罪规模，包括筛选潜在受害者、自动化生成恶意弹窗窗口以及进行语言翻译以针对日本受害者，”Masada称，“此类活动凸显了网络犯罪者日益复杂的作案手法，也强调了主动开展全球协作以保护受害者的重要性。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于周二发布新发现的俄罗斯黑客组织“Void Blizzard”的技术文档，警告该组织过去一年持续窃取欧洲与北美政府机构及国防承包商的电子邮件、文件乃至Teams聊天记录。 在与荷兰情报机构联合发布的最新报告中，微软威胁追踪团队指出，该克里姆林宫黑客团队高度依赖网络犯罪经济的低成本资源：从信息窃取市场购买被盗账号密码，用于密码喷射攻击。 微软表示，近几周观察到该组织转向更精准的“中间人鱼叉式钓鱼”战术——通过仿冒域名伪造微软Entra登录页面，并以恶意二维码邀请函伪装成虚假的欧洲防务峰会。“我们评估Void Blizzard正在使用开源攻击框架Evilginx实施中间人钓鱼行动，窃取包括输入的用户名、密码及服务器生成的所有cookie在内的认证数据。”2017年公开的Evilginx是具备中间人攻击能力的广泛传播钓鱼工具包。 微软指出，尽管这些技术属于国家级网络间谍活动的常规手段，但受害者名单与俄罗斯其他网络间谍组织存在重叠。该俄罗斯黑客团队可能正在窃取可反馈至军事或外交决策的战略情报。北约国家与乌克兰仍是主要攻击目标，微软举例乌克兰某航空机构曾遭其他俄罗斯APT组织入侵，显示对空中交通与航天网络的重点关注。 根据微软描述，Void Blizzard的攻击流程简明直接： 窃取凭证 登录Exchange或SharePoint Online 自动化下载可见数据 微软威胁情报中心发现与Void Blizzard关联的“全球云服务滥用活动集群”，警告该组织对关键领域网络的高频攻击加剧北约成员国及乌克兰盟友的风险。在初始入侵后，微软捕获黑客滥用Exchange Online和Microsoft Graph等合法云API枚举邮箱（含共享邮箱）与云端文件的行为。 微软解释称：“账户失陷后，攻击者可能自动化批量收集云端数据（主要是邮件与文件），以及受害者有权访问的其他用户邮箱与文件共享。”在少量确认案例中，黑客通过Microsoft Teams网页客户端监视对话内容。攻击者有时使用公开工具AzureHound枚举受害组织的Microsoft Entra ID配置，获取租户内用户、角色、群组、应用程序及设备信息。 微软透露，自2024年年中以来，已追踪到针对电信、国防供应商、数字服务商、医疗及IT行业的成功入侵案例。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 加密通讯应用Signal于上周五推出全新“屏幕安全”功能，默认阻止Windows 11系统对聊天窗口进行任何形式的截图操作，此举被视为对微软Windows Recall屏幕记录技术的直接反击。该功能启用后，无论是用户手动截屏还是系统自动抓取，Signal聊天界面将仅显示空白画面，关闭此防护需深入设置界面并手动忽略醒目警告。 Signal首席开发工程师约书亚·伦德在声明中指出：“尽管微软迫于舆论压力对Recall进行安全强化，但该功能仍使Signal等隐私优先应用的屏幕内容暴露于风险中。我们别无选择，只能采取主动防御。”微软此前推迟Recall功能的发布，新增存在性证明加密、防篡改机制，并将截图数据存储于操作系统外的安全飞地，但Signal认为这些改进仍存重大设计缺陷。 争议核心在于Recall作为Windows AI核心功能，每五秒自动截取屏幕内容构建可搜索记忆库。伦德批评微软未向开发者提供应用级防护接口是“明显疏漏”，迫使Signal采取非常规手段：“隐私应用理应获得与浏览器无痕模式同等的系统级保护，但微软仅默认豁免了后者。”目前微软尚未对此置评。 此次对抗凸显AI时代操作系统与应用程序的权限博弈。Signal警告称，具备“广泛权限、脆弱安全机制与数据饥渴症”的AI代理正在打破应用与操作系统间的“血脑屏障”，威胁所有隐私保护类应用的生存基础。技术观察人士指出，这场攻防战或将重塑操作系统生态的权力边界，推动行业建立更精细的隐私权限管理体系。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员周一披露，一个与土耳其政府结盟的网络间谍组织似乎利用某即时通讯应用的零日漏洞，监视伊拉克境内库尔德军事行动。 据微软威胁情报部门称，追踪代号为Marbled Dust的黑客自2024年4月起入侵Output Messenger（一款常用于工作场所和组织聊天的应用）用户账户。 该团队表示“高度确信攻击目标与伊拉克境内库尔德军事组织相关，这与Marbled Dust既往攻击优先级一致。”库尔德武装组织库尔德工人党（PKK）周一宣布，在与土耳其持续数十年的冲突后，将解散并解除武装。伊拉克多数库尔德人居住在与土耳其接壤的半自治地区。 Marbled Dust的活动与其他公司追踪的Sea Turtle或UNC1326行动存在重叠。微软指出，该组织以攻击欧洲和中东实体闻名，“特别是与土耳其政府存在利益冲突的政府机构及组织，以及电信和信息技术行业目标。” 此前未记录的Output Messenger漏洞（CVE-2025-27920）可使认证用户将恶意文件上传至服务器启动目录。微软称尚不确定Marbled Dust如何每次均获取认证账户权限，但推测该组织可能使用DNS劫持或仿冒域名等技术拦截网络流量并窃取用户凭证。 在微软通报漏洞后，Output Messenger开发商印度公司Srimax发布了软件更新。研究人员还发现第二个未遭利用的漏洞（CVE-2025-27921），Srimax补丁亦涵盖该缺陷。 微软表示，利用首个漏洞可使攻击者“无差别访问所有用户的通信内容、窃取敏感数据并冒充用户身份，进而导致运营中断、内部系统未授权访问及大规模凭证泄露。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣布重大账户安全升级：新用户注册将默认启用无密码登录。继2023年为消费者账户推出通行密钥（Passkey）支持后，微软进一步调整策略，强制新账户采用防钓鱼认证方式。微软身份认证部门负责人Joy Chik与安全副总裁Vasu Jakkal表示：“全新微软账户现默认无密码。新用户可通过多种无密码方式登录账户，且无需设置密码。现有用户可前往账户设置删除密码。” 此次更新简化了登录与注册流程，优先展示无密码选项。此外，登录流程现已自动检测用户账户可用的最佳认证方式并设为默认。例如，若某账户支持密码和“一次性验证码”登录，系统将引导用户选择后者。成功登录后，用户将收到设置通行密钥的提示以增强安全防护。微软此举与苹果、谷歌、亚马逊等科技企业近年举措同步，标志着行业向无密码时代稳步迈进。鉴于基于密码的网络攻击仍是攻击者主要入侵手段，通行密钥的普及预示着账户安全的重要变革。 2023年9月，微软在Windows 11中引入通行密钥支持，同期谷歌将其设为全球用户默认登录方式。2024年，微软更新Windows Hello生物识别系统以兼容该技术。通行密钥通过消除密码需求提供更安全登录方案，其技术基础由FIDO联盟推动的公钥加密体系支撑。用户注册在线服务时，其客户端设备（如手机或电脑）生成密钥对：私钥安全存储于本地，公钥上传至服务端。登录时，用户通过生物识别（如面容或指纹）验证身份后，设备使用私钥签署验证请求完成认证。 2024年10月，FIDO联盟宣布正与各方合作优化通行密钥跨平台导出功能，改善凭证提供商的互操作性。截至去年12月，全球超150亿用户账户已支持通行密钥登录。该联盟上月还成立支付工作组（PWG），旨在制定支付场景的FIDO解决方案，重点评估现有及新兴支付认证技术，并制定通行密钥与现有支付技术融合的指导规范。 消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软Defender XDR错误将合法的Adobe Acrobat云服务链接标记为恶意链接，导致用户通过ANY.RUN沙箱平台公开上传了超过1,700份敏感文档。 ANY.RUN是一个交互式在线沙箱分析平台，允许用户在受控环境中运行可疑文件或链接以检测恶意软件。该平台明确警告免费版用户：所有上传文件将默认公开。 ANY.RUN在声明中表示：“我们观察到大量Adobe Acrobat云服务链接（acrobat[.]adobe[.]com/id/urn:aaid:sc:）被突然上传至沙箱。经调查发现，微软Defender XDR误将该域名标记为恶意。这导致免费用户以公开模式上传了上千份含企业敏感数据的Adobe文件。” 尽管ANY.RUN已将相关分析设为私有以防止泄露，但用户仍在持续公开分享机密文档。该公司建议用户在处理工作相关任务时购买商业许可证以确保隐私合规。 除ANY.RUN外，VirusTotal等恶意软件分析平台也允许用户上传可疑文件，可能导致数据无意泄露。 网络安全社区对ANY.RUN的“误导性声明”表示不满。有Reddit用户指出，该平台首页标注“创建免费账户”并声称“可保持上传与分析内容私有”，但实际条款中免费版数据默认公开。 用户评论：“当用户专注于分析恶意软件时，很容易忽略这类‘看似明显’的警告——如果真这么明显，就不会有这么多人出错了。” 专家建议：用户应仔细核查沙箱平台的隐私政策与设置，或彻底避免上传任何敏感数据。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣称已完成“网络安全史上最大规模工程改造”，将所有微软账户（Microsoft Account）与Entra ID令牌签名密钥迁移至具备自动轮换机制的硬件安全模块或Azure机密虚拟机，旨在阻断曾导致国家级攻击者入侵微软系统的密钥窃取战术。 在推出“安全未来计划”（Secure Future Initiative）应对黑客攻击及美国政府严厉报告的18个月后，微软安全主管Charlie Bell宣布该计划28项目标中已有5项“接近完成”，另有11项取得“重大进展”。 Bell表示，除了将所有微软账户和Entra ID令牌签名密钥迁移至硬件安全模块或Azure机密虚拟机的核心修复措施外，超过90%的微软内部生产力账户已迁移至防钓鱼多因素认证，并且90%的第一方身份令牌通过新加固的软件开发工具包（SDK）进行验证。 Bell指出：“我们根据红队研究成果部署了深度防御保护措施，已将MSA签名服务迁移至Azure机密虚拟机，Entra ID签名服务迁移工作正在进行。”这些改进有助于缓解中国APT组织攻击微软时可能使用的攻击路径。 微软公开将此次入侵归因于从被黑工程师企业账户窃取的崩溃转储文件。该2021年4月的转储文件包含MSA消费者密钥，攻击者借此伪造令牌入侵OWA与Outlook.com账户。 在架构层面，Bell报告称已清除630万个休眠的Azure租户以保护云租户并隔离生产系统。微软还报告已将88%的活跃资源迁移至Azure资源管理器以实现更严格的策略执行，并对440万个托管身份进行分段，使其只能从经过批准的网络位置进行身份验证。 “安全未来计划”于2023年11月推出，承诺加速云补丁发布、优化身份密钥管理、提升默认软件安全基线。尽管取得进展，微软仍面临对其云产品第三方漏洞研究处理方式的批评，并持续受困于缺陷补丁与Windows零日攻击激增问题。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软确认，上周末Microsoft Entra账户锁定事件系因系统内部误存短期用户刷新令牌并触发失效机制所致。周六上午，多家机构报告开始收到Microsoft Entra警报，提示账户凭证泄露并触发自动锁定机制。 受影响客户最初认为账户锁定与名为“MACE凭据吊销”的新企业应用程序部署相关（该应用在警报触发前数分钟被安装）。但某受影响组织的管理员披露了微软发送的公告，指出根本原因是公司错误记录了受影响账户的完整用户刷新令牌（而非仅元数据）。 微软在意识到误记录实际令牌后启动失效程序，意外触发警报与锁定操作。微软在Reddit发布的官方公告称：“2025年4月18日（周五），我们发现内部系统错误记录了少量用户的短期刷新令牌（标准流程本应仅记录令牌元数据）。我们已立即纠正日志问题，并执行令牌失效程序以保护客户。但在失效过程中，我们无意间在Entra ID Protection中生成了’用户凭证可能已泄露’的警报。这些警报发送时间为UTC时间2025年4月20日4:00至9:00。目前没有证据表明这些令牌遭未授权访问——若后续发现任何非法访问迹象，我们将启动标准安全事件响应与通报流程。” 微软表示，受影响客户可通过Microsoft Entra中针对标记用户的“确认用户安全”反馈功能恢复账户访问权限。公司承诺将在调查结束后发布事件事后审查报告（PIR），并与所有受影响客户共享该报告。BleepingComputer周六已就此事联系微软，但截至发稿尚未获得回复。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文