揭露黑客利用微软 Entra ID 特权升级的秘密

作者: hackernews 日期: 2023-08-29 分类: 恶意代码, 漏洞

Hackernews 编译，转载请注明出处： 网络安全研究人员发现了一个与Microsoft Entra ID(以前的Azure Active Directory)应用程序相关的特权升级案例，该应用程序利用了一个废弃的回复URL。 Secureworks反威胁小组(CTU)在上周发布的一份技术报告中表示:“攻击者可以利用这个废弃的URL将授权码重定向到自己，将非法获得的授权码交换为访问令牌。然后，攻击者可以通过中间层服务调用Power Platform API，并获得更高的权限。”...

Sublime、Vim 等多款流行文本编辑器存在特权升级漏洞

作者: hackernews 日期: 2018-03-19 分类: 漏洞事件, 今日推送

据外媒 3 月 16 日报道，在最近一系列利用漏洞插件的攻击之后，SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限，并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器（Sublime、Vim、Emacs、Gedit、pico / 目前该漏洞被认为与这些文本编辑器加载插件的方式有关，因为它们在加载插件时没有正确分离常规模式和高级模式。...