HackerNews 编译，转载请注明出处： 攻击者正在利用一款名为Gamma的AI演示平台进行钓鱼攻击，将毫无戒心的用户引导至仿冒的微软登录页面。 Abnormal Security研究人员Callie Hinman Baron和Piotr Wojtyla在周二的分析报告中指出：“攻击者将Gamma（一种相对较新的基于AI演示工具）武器化，通过其向受害者发送虚假微软SharePoint登录门户的链接。” 攻击链始于钓鱼邮件（某些情况下通过合法但被入侵的邮箱账户发送），诱导收件人打开嵌入的PDF文档。 实际上，该PDF附件仅包含一个超链接。点击后，受害者会被重定向至托管在Gamma平台上的演示页面，并被提示点击“查看安全文档”按钮。 此操作会将用户带到一个仿冒微软的中间页面，要求他们在访问所谓文档前完成Cloudflare Turnstile验证步骤。这一验证码（CAPTCHA）环节既增强了攻击的真实性，也阻止了安全工具对链接进行自动化分析。 随后，目标用户将被导向伪装成微软SharePoint登录门户的钓鱼页面，攻击者试图窃取其凭证。 研究人员指出：“若用户输入错误凭证，页面会显示‘密码错误’提示，这表明攻击者使用了某种实时验证凭证的中间人（AiTM）手段。” 这一发现反映了当前钓鱼攻击的普遍趋势：攻击者滥用合法服务托管恶意内容，绕过SPF、DKIM、DMARC等邮件认证检查——这种技术被称为依赖可信站点生存（LOTS）。 研究人员表示：“这场复杂的多阶段攻击表明，如今的威胁行为者正利用小众工具产生的盲区规避检测、欺骗用户并实施账户入侵。” “攻击者并未直接链接至凭证窃取页面，而是将用户重定向至多个中间环节：首先是Gamma托管的演示页面，随后是受Cloudflare Turnstile保护的跳转页，最终到达仿冒的微软登录页面。这种多阶段跳转隐藏了真实目标，使静态链接分析工具难以追踪攻击路径。” 此次披露恰逢微软在其最新《网络信号》报告中警告称，AI驱动的欺诈攻击正在激增。攻击者利用深度伪造、语音克隆、钓鱼邮件、高仿假网站及虚假招聘信息生成可信内容以扩大攻击规模。 微软表示：“AI工具可扫描并抓取网络上的企业信息，帮助攻击者构建员工或其他目标的详细档案，从而设计极具说服力的社交工程诱饵。” “在某些案例中，攻击者通过伪造的AI增强产品评论和AI生成的网店页面，诱骗受害者陷入日益复杂的欺诈计划。诈骗者甚至创建完整的网站和电商品牌，编造虚假企业历史与客户评价。” 微软还宣布已对Storm-1811（又名STAC5777）组织的攻击采取行动。该组织通过Teams实施语音钓鱼（vishing），伪装成IT支持人员，诱骗受害者授予其设备远程访问权限以部署后续勒索软件。 然而，有证据表明，这场Teams钓鱼活动的幕后团伙可能正在改变策略。ReliaQuest最新报告显示，攻击者采用了一种此前未公开的持久化手段——通过TypeLib COM劫持和新型PowerShell后门逃避检测并维持对入侵系统的访问。 据称，该威胁组织自2025年1月起开发多版PowerShell恶意软件，早期版本通过恶意Bing广告投放。两个月后发现的攻击活动瞄准金融、专业服务及科技行业客户，重点针对女性化名字的高管层员工。 攻击链后期阶段的策略变化引发猜测：Storm-1811可能正在升级手法，或是分支组织所为，亦或是其他威胁行为者复制了其独有的初始入侵技术。 ReliaQuest指出：“钓鱼聊天信息的时间经过精心设计，集中在下午2点至3点之间（与目标组织的当地时间完全同步），利用员工午后警惕性较低的时段实施攻击。” “无论此次微软Teams钓鱼活动是否由Black Basta组织发起，可以肯定的是，通过Teams实施的钓鱼攻击不会消失。攻击者持续寻找绕过防御并潜伏在组织内部的巧妙方法。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软就删除VSCode扩展一事向开发者致歉   2025年3月13日，微软在Visual Studio Marketplace中重新上架了“Material Theme – Free”和“Material Theme Icons – Free”两款VSCode扩展。此前，这两款扩展因被怀疑包含恶意代码而被下架，其开发者Mattia Astorino（别名“equinusocio”）也被平台封禁。 这两款扩展的安装量超过900万次，于2月因安全风险被下架。当时，微软表示，社区成员对扩展进行了深度安全分析，发现多处可疑迹象并报告给微软。微软安全研究人员确认了这一说法，并发现了更多可疑代码。 研究人员Amit Assaraf和Itay Kruk在使用AI扫描工具检查VSCode提交内容时，首次将这两款扩展标记为潜在恶意软件。他们认为，Material Theme的“release-notes.js”文件中存在代码执行能力且代码经过高度混淆，这引发了安全担忧。 然而，开发者Astorino对此表示反对，称问题出自在扩展中使用的一个自2016年以来就未更新的sanity.io依赖项，该依赖项用于显示发布说明。他指出，如果微软在下架前与他沟通，他可以在几秒钟内解决这一问题，而不是直接封禁他的账号。 Astorino表示，Material Theme扩展的混淆过程中无意中包含了sanity.io SDK客户端，其中包含了一些引用用户名或密码的字符串，但这些并非恶意代码，只是多年前构建过程中的一个错误。 3月12日，微软的Scott Hanselman在GitHub上向Astorino道歉，并恢复了他的开发者账号。他承认，微软在处理此事时过于仓促，导致了错误的结论。Hanselman还表示，Visual Studio Code Marketplace将更新其对混淆代码的政策，并改进扫描工具，以避免未来再次匆忙处理类似项目。 尽管如此，Amit Assaraf在接受采访时仍坚持认为，该扩展确实包含恶意代码，但他也承认开发者并无恶意意图。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软威胁情报团队近日宣布，他们发现了一种新的 XCSSET 恶意软件变体，该变体在野外的有限攻击中被发现。 “这是自 2022 年以来已知的首个 XCSSET 变体，具有增强的混淆方法、更新的持久性机制和新的感染策略，”微软威胁情报团队在 X 上的一篇帖子中表示。 这些增强功能增加了该恶意软件家族之前已知的能力，例如针对数字钱包、从 Notes 应用程序收集数据以及窃取系统信息和文件。 XCSSET 是一种复杂的模块化 macOS 恶意软件，已知会通过感染 Apple Xcode 项目来攻击用户。它最初在 2020 年 8 月由趋势科技记录。 随后的恶意软件迭代被发现能够适应新的 macOS 版本以及苹果自家的 M1 芯片。2021 年年中，这家网络安全公司指出，XCSSET 已经更新，可以从各种应用程序（如 Google Chrome、Telegram、Evernote、Opera、Skype、WeChat 以及苹果自家的 Contacts 和 Notes 应用程序）中窃取数据。 Jamf 同一时间的另一份报告揭示了该恶意软件利用 CVE-2021-30713（一个 Transparency、Consent 和 Control (TCC) 框架绕过漏洞）作为零日漏洞，在不需要额外权限的情况下截取受害者桌面的屏幕截图。 一年多后，它再次更新，增加了对 macOS Monterey 的支持。截至目前，该恶意软件的起源仍未知。 微软的最新发现标志着自 2022 年以来的首次重大修订，采用了改进的混淆方法和持久性机制，旨在挑战分析工作，并确保每次启动新的 shell 会话时恶意软件都会被启动。 XCSSET 建立持久性的另一种新方法是从未知的命令和控制服务器下载签名的 dockutil 实用程序，以管理 dock 项目。 “恶意软件随后创建一个假的 Launchpad 应用程序，并将合法 Launchpad 在 dock 中的路径条目替换为这个假的条目，”微软表示，“这确保了每次从 dock 启动 Launchpad 时，合法的 Launchpad 和恶意负载都会被执行。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于本周二发布了针对其软件产品的安全更新，修复了63个漏洞，其中包括2个已被积极利用的漏洞。 这63个漏洞中，3个被评为严重（Critical），57个为重要（Important），1个为中等（Moderate），2个为低危（Low）。除此之外，微软还解决了自上个月补丁星期二更新以来，针对其基于Chromium的Edge浏览器的23个漏洞。 此次更新的重点是修复了两个被积极利用的漏洞： CVE-2025-21391（CVSS评分：7.1）——Windows存储权限提升漏洞 CVE-2025-21418（CVSS评分：7.8）——Windows辅助功能驱动程序（WinSock）权限提升漏洞 微软在关于CVE-2025-21391的警报中表示：“攻击者仅能删除系统上的特定文件。该漏洞不会泄露任何机密信息，但可能允许攻击者删除数据，导致服务不可用。” Action1公司总裁兼联合创始人Mike Walters指出，该漏洞可能与其他漏洞结合使用，从而提升权限并执行后续操作，复杂化恢复工作，攻击者也可能通过删除重要的取证资料来掩盖其行踪。 另一方面，CVE-2025-21418是涉及AFD.sys的权限提升漏洞，攻击者可利用该漏洞获得系统级权限（SYSTEM权限）。 值得注意的是，去年8月，Gen Digital披露了相同组件中的类似漏洞CVE-2024-38193，该漏洞已被朝鲜黑客组织Lazarus Group利用。2024年2月，微软也修复了一个影响AppLocker驱动程序（appid.sys）的Windows内核权限提升漏洞CVE-2024-21338，该漏洞也曾被Lazarus Group利用。 这些攻击链之所以引人注目，是因为它们超越了传统的“带入易受攻击驱动程序”（BYOVD）攻击，而是利用了Windows本地驱动程序中的安全漏洞，从而无需在目标环境中引入其他驱动程序。 目前尚不清楚CVE-2025-21418的滥用是否与Lazarus Group有关。美国网络安全和基础设施安全局（CISA）已将这两个漏洞列入已知被利用漏洞（KEV）目录，要求联邦机构在2025年3月4日前应用相关补丁。 此次更新中，微软解决的最严重漏洞是CVE-2025-21198（CVSS评分：9.0），一个高性能计算（HPC）包中的远程代码执行（RCE）漏洞。 微软表示：“攻击者可通过向目标头节点或Linux计算节点发送特制的HTTPS请求，进而执行远程代码，并能够在连接到目标头节点的其他集群或节点上执行代码。” 此外，另一个远程代码执行漏洞CVE-2025-21376（CVSS评分：8.1）影响Windows轻量目录访问协议（LDAP），攻击者可通过发送特制请求执行任意代码。不过，成功利用该漏洞需要攻击者在竞争条件下获胜。 Immersive Labs的网络安全工程师Ben McCarthy表示：“鉴于LDAP是Active Directory的核心组件，后者支撑着企业环境中的身份验证和访问控制，若被攻破，可能导致横向渗透、权限提升以及广泛的网络入侵。” 此外，更新还修复了一个NTLMv2哈希泄露漏洞CVE-2025-21377（CVSS评分：6.5），如果成功利用，攻击者可冒充目标用户进行身份验证。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警告称，软件开发者从公开资源中使用已泄露的 ASP.NET 机器密钥，可能会使应用程序面临攻击风险。该公司威胁情报团队发现，2024 年 12 月曾有未知攻击者利用公开的静态 ASP.NET 机器密钥注入恶意代码，并投递名为 Godzilla 的后利用框架。 微软指出，此类密钥可能被用于 ViewState 代码注入攻击，目前已发现超过 3000 个公开披露的密钥存在被利用的风险。与以往常见的 ViewState 代码注入攻击使用被盗或被泄露的密钥不同，这些公开披露的密钥风险更高，因为它们广泛存在于多个代码仓库中，且可能未经修改就被直接用于开发代码。 ViewState 是 ASP.NET 框架中用于在页面回发之间保存页面和控件值的方法，通常以隐藏字段形式存储在页面中，并使用 Base64 编码，同时通过机器身份验证码（MAC）密钥生成的哈希值来确保数据未被篡改。然而，如果这些密钥被盗或被未经授权的第三方获取，攻击者可以利用这些密钥发送恶意 ViewState 请求并执行任意代码。 微软已提供公开披露机器密钥的哈希值列表，建议用户检查其环境中使用的密钥是否匹配，并警告称，如果公开披露的密钥被成功利用，仅旋转密钥可能不足以解决问题，因为攻击者可能已在主机上建立了持久性。为降低此类攻击风险，建议不要从公开来源复制密钥，并定期更换密钥。此外，微软还从其文档中删除了一些包含密钥的“有限实例”，以进一步阻止攻击者。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周四警告美国联邦机构，需防范针对微软 Outlook 关键远程代码执行（RCE）漏洞的攻击。 该漏洞由 Check Point 的漏洞研究人员 Haifei Li 发现，编号为 CVE-2024-21413，CVSS 评分为 9.8。漏洞源于在使用易受攻击的 Outlook 版本打开包含恶意链接的电子邮件时，未正确验证输入。 攻击者利用此漏洞可以绕过受保护视图（Protected View），以编辑模式而非只读模式打开恶意 Office 文件，从而获得远程代码执行能力。微软在一年前修补了该漏洞，并警告称即使在预览恶意构建的 Office 文档时，预览窗格也是一个攻击向量。 Check Point 解释称，这一安全漏洞（代号为 Moniker Link）允许威胁行为者绕过 Outlook 对电子邮件中嵌入的恶意链接的内置保护，方法是使用 file:// 协议并在指向攻击者控制的服务器的 URL 中添加感叹号。 CISA 已将该漏洞添加到其已知被利用漏洞（KEV）目录中，并根据强制性业务指令（BOD）22-01，要求联邦机构在 2 月 27 日前的三周内确保其网络的安全。 “这类漏洞是恶意网络行为者频繁利用的攻击向量，对联邦企业构成重大风险，”该网络安全机构警告。 虽然 CISA 主要关注提醒联邦机构尽快修补这些漏洞，但私营组织也被建议优先修补这些漏洞，以阻止正在进行的攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了一款 PowerShell 脚本，旨在帮助 Windows 用户和管理员更新可启动介质，使其在 2026 年底前使用新的 “Windows UEFI CA 2023” 证书，以应对即将实施的 BlackLotus UEFI Bootkit 缓解措施。 BlackLotus 是一种 UEFI Bootkit，能够绕过安全启动（Secure Boot），并控制操作系统的启动过程。一旦获得控制权，BlackLotus 可以禁用 Windows 安全功能，例如 BitLocker、受 hypervisor 保护的代码完整性（HVCI）和 Microsoft Defender Antivirus，从而在最高权限级别部署恶意软件，同时保持隐蔽性。 2023 年 3 月和 2024 年 7 月，微软发布了针对 CVE-2023-24932 的安全更新，该漏洞是一个被 BlackLotus 利用的 Secure Boot 绕过漏洞。然而，此修复默认情况下是禁用的，因为错误应用更新或设备上的冲突可能导致操作系统无法加载。分阶段推出修复程序，可以让 Windows 管理员在 2026 年底前强制实施前进行测试。 启用后，安全更新将把 “Windows UEFI CA 2023” 证书添加到 UEFI “Secure Boot Signature Database” 中。管理员随后可以安装使用该证书签名的较新启动管理器。此过程还包括更新 Secure Boot Forbidden Signature Database（DBX），以添加用于签名较旧、易受攻击启动管理器的 “Windows Production CA 2011” 证书。一旦撤销该证书，这些启动管理器将变得不受信任且无法加载。 然而，如果应用缓解措施后设备启动出现问题，必须首先更新可启动介质以使用 Windows UEFI CA 2023 证书来排查 Windows 安装问题。微软在关于 CVE-2023-24932 修复分阶段推出的支持公告中解释道：“如果应用缓解措施后设备出现问题且无法启动，你可能无法从现有介质启动或恢复设备。恢复或安装介质需要更新，以便与已应用缓解措施的设备兼容。” 昨天，微软发布了一款 PowerShell 脚本，帮助用户更新可启动介质以使用 Windows UEFI CA 2023 证书。该脚本可以从微软下载，并用于更新 ISO CD/DVD 镜像文件、USB 闪存驱动器、本地驱动器路径或网络驱动器路径的可启动介质文件。 要使用该工具，必须先下载并安装 Windows ADK，这是脚本正常运行的必要条件。运行时，脚本将更新介质文件以使用 Windows UEFI CA 2023 证书，并安装由该证书签名的启动管理器。 微软强烈建议 Windows 管理员在安全更新强制实施阶段到来之前测试这一过程。微软表示，这将在 2026 年底前发生，并将在开始前六个月内通知用户。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了微软 Power Platform 上的 SharePoint 连接器一个现已修补的漏洞的详细信息，如果该漏洞被成功利用，可能会允许威胁行为者窃取用户的凭据并发起后续攻击。 Zenity Labs 在一份与《黑客新闻》分享的报告中表示，这可能表现为允许攻击者代表被冒充的用户向 SharePoint API 发送请求的后利用行动，从而获得对敏感数据的未经授权的访问。 “该漏洞可以被利用来影响 Power Automate、Power Apps、Copilot Studio 和 Copilot 365，这显著扩大了潜在损害的范围。”高级安全研究员 Dmitry Lozovoy 说，“这增加了成功攻击的可能性，使黑客能够针对 Power Platform 生态系统内多个相互关联的服务。” 在 2024 年 9 月负责任地披露该漏洞后，微软在 12 月 13 日解决了这个被评估为“重要”严重性的安全问题。 微软 Power Platform 是一系列低代码开发工具，允许用户促进分析、流程自动化和数据驱动的生产力应用程序。 该漏洞本质上是服务器端请求伪造（SSRF），源于 SharePoint 连接器中的“自定义值”功能，该功能允许攻击者在流程中插入自己的 URL。 然而，为了使攻击成功，恶意用户需要在 Power Platform 上拥有环境制造者角色和基本用户角色。这也意味着他们需要首先通过其他方式获得对目标组织的访问权限并获取这些角色。 “有了环境制造者角色，他们可以创建和共享恶意资源，如应用程序和流程。”Zenity 告诉《黑客新闻》。“基本用户角色允许他们运行应用程序并与其拥有的 Power Platform 上的资源进行交互。如果攻击者还没有这些角色，他们需要先获得这些角色。” 在一个假设的攻击场景中，威胁行为者可以为 SharePoint 操作创建一个流程，并与低权限用户（即受害者）共享，导致他们的 SharePoint JWT 访问令牌泄露。 掌握了这个被捕获的令牌，攻击者可以代表被授予访问权限的用户在 Power Platform 之外发送请求。 不仅如此。该漏洞还可以通过创建看似无害的 Canvas 应用程序或 Copilot 代理来进一步扩展到其他服务，如 Power Apps 和 Copilot Studio，以窃取用户的令牌并进一步提升访问权限。 “你可以通过将 Canvas 应用程序嵌入 Teams 频道来进一步扩展。”Zenity 指出。“一旦用户在 Teams 中与应用程序交互，你就可以像在组织内一样轻松地窃取他们的令牌，使攻击更加广泛。” “主要的收获是，Power Platform 服务的相互关联性可能会导致严重的安全风险，尤其是考虑到 SharePoint 连接器的广泛使用，其中存储了大量敏感的公司数据，确保在各种环境中维护适当的访问权限可能会很复杂。” 这一事件发生之际，Binary Security 详细披露了 Azure DevOps 中的三个 SSRF 漏洞，这些漏洞可能被利用来与元数据 API 端点通信，从而允许攻击者获取有关机器配置的信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络威胁行为者正利用FastHTTP Go库，针对全球Microsoft 365账户发起高速暴力破解密码攻击。 近日，事件响应公司SpearTip发现了此次攻击活动，据称攻击始于2024年1月6日，目标直指Azure Active Directory Graph API。 研究人员警告称，这些暴力破解攻击有10%的时间能够成功接管账户。 滥用FastHTTP进行账户接管 FastHTTP是Go编程语言的高性能HTTP服务器和客户端库，专为处理HTTP请求而优化，即使在大量并发连接的情况下也能实现更高的吞吐量、更低的延迟和更高的效率。 在此次攻击活动中，黑客利用FastHTTP创建HTTP请求，自动化尝试未经授权的登录。 SpearTip指出，所有请求均针对Azure Active Directory的终端点，旨在暴力破解密码或反复发送多因素认证（MFA）挑战，以在MFA疲劳攻击中压垮目标。 SpearTip报告称，65%的恶意流量来自巴西，利用广泛的自治系统号（ASN）提供商和IP地址，其次是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。 研究人员表示，41.5%的攻击失败，21%因保护机制而触发账户锁定，17.7%因违反访问策略（地理位置或设备合规性）而被拒绝，10%受到MFA保护。 这意味着，有9.7%的情况下，威胁行为者成功认证到目标账户，这是一个相当高的成功率。 Microsoft 365账户接管可能导致机密数据泄露、知识产权被盗、服务中断等负面后果。 SpearTip已分享一个PowerShell脚本，管理员可利用该脚本在审核日志中检查是否存在FastHTTP用户代理，从而判断自己是否成为此次攻击的目标。 管理员还可以手动登录Azure门户，导航至“Microsoft Entra ID”→“用户”→“登录日志”，并应用“客户端应用：‘其他客户端’”筛选器来检查用户代理。 如果发现任何恶意活动迹象，建议管理员立即终止用户会话并重置所有账户凭据，审查已注册的MFA设备，并删除未经授权的添加项。 SpearTip报告的底部部分提供了与该攻击活动相关的妥协指标的完整列表。

HackerNews 编译，转载请注明出处： 有关Dynamics 365和Power Apps Web API中三个已修复安全漏洞的详情已公布，这些漏洞存在数据泄露风险。 这些漏洞由墨尔本网络安全公司Stratus Security发现，并于2024年5月得到修复。其中两个漏洞位于Power Platform的OData Web API Filter中，第三个则涉及FetchXML API。 首个漏洞源于OData Web API Filter缺乏访问控制，使得攻击者可访问包含敏感信息的联系人表，如全名、电话号码、地址、财务数据及密码哈希。 攻击者可利用此漏洞进行布尔搜索，通过逐个猜测哈希字符来提取完整哈希，直至找到正确值。 “例如，我们先发送startswith(adx_identity_passwordhash, ‘a’)，再发送startswith(adx_identity_passwordhash, ‘aa’)，接着是startswith(adx_identity_passwordhash, ‘ab’)，依此类推，直至返回以’ab’开头的结果，”Stratus Security指出。 “继续此过程，直至查询返回以’ab’开头的有效结果。当无更多字符返回有效结果时，即表示我们已获取完整值。” 至于微软Dynamics 365和Power Apps Web API的第二个漏洞，则在于利用同一API中的orderby子句从必要数据库表列（如联系人的主要电子邮件地址EMailAddress1）获取数据。 此外，Stratus Security还发现，FetchXML API可与联系人表结合使用，通过orderby查询访问受限列。“使用FetchXML API时，攻击者可针对任意列构建orderby查询，完全绕过现有访问控制，”该公司表示，“与先前漏洞不同，此方法无需orderby以降序排列，为攻击增添了灵活性。” 因此，利用这些漏洞的攻击者可编制密码哈希和电子邮件列表，进而破解密码或出售数据。 “Dynamics 365和Power Apps API中的漏洞再次提醒我们：网络安全需持续警惕，尤其是像微软这样掌握大量数据的大公司，”Stratus Security强调。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文