微軟宣布由於線上版Office的功能更新和買斷版Office脫勾,Office 2016和Office 2019 明年起,在使用Microsoft 365時會逐漸出現效能或穩定性問題。但Office 2013及Mac版Office 2019,明年10月就無法再存取微軟線上服務。 微軟網頁說明,從2023年10月之前,「仍將支援Office 2016和2019連結Microsof...
安全廠商發現,駭客利用美國運通(American Express)及Snapchat網域的開放重導向(open redirect)漏洞,發送以騙取用戶帳密為目的的釣魚信件。 重導向(redirect)是將用戶從其目的地網站導引到另一網站。最主要用途是利用廣告將網路用戶導向廣告主的網站以誘使其購物。重導...
資安業者Zscaler在今年6月發現了一個大規模的網釣活動,此一惡意活動鎖定了使用微軟電子郵件服務的企業,而且採用了先進的中間人(Adversary-in-The-Middle,AiTM)攻擊,以繞過多因素認證(Multi-Factor Authentication,MFA)機制,目的是挾持受害者的微軟帳號,並展開商業電子郵件...
安全廠商發現,新興的分散式檔案儲存及傳輸協定IPFS也被駭客用於產製及發送釣魚信件,而且更難為傳統釣魚信件防護技術偵測。 安全廠商TrustWave觀測到3,000多封電子郵件包含IPFS協定的釣魚URL,顯示這新協定愈來愈成為釣魚網站的熱門平臺。 星際檔案系統(InterPlanetary Fil...
微軟關閉Office XL4及VBA巨集後,駭客也調整了攻擊手法。安全廠商發現,釣魚詐騙駭客已減少使用包含巨集的文件,而改使用ISO、RAR、LNK等類型檔案感染用戶。 微軟分別在去年10月 和今年2月宣布關閉XL4及VBA 巨集(後者延至7月正式實施),安全廠商Proofpoint分析去年10月到今年...
微軟研究人員發現,IIS(Internet Information Services)外掛近來逐漸被駭客當成攻擊企業伺服器系統如Exchange Server的後門程式。 過去企業伺服器攻擊較少遇到惡意IIS外掛,這倒不是因為駭客不用IIS外掛攻擊。主因是,駭客通常以腳本語言寫成的web shell作為第一階段的後門程式,...
美國身分管理業者Entrust向客戶寄出安全通知,指出在今年6月18日遭到駭客入侵,駭客盜走了內部系統的某些檔案。不過,Entrust迄今尚未對外揭露有關該攻擊的詳細資訊。 Entrust主要提供有關身分認證的軟、硬體產品,例如用來發行金融卡、製作電子護照,以及用來存取安全...
Google 7月初修補Chrome的一項零時差攻擊漏洞,事實上也影響Safari及微軟Edge瀏覽器,蘋果和微軟也分別於上周及本月初釋出更新版軟體解決漏洞。 7月初Google釋出Chrome 103版,最重要的是解決CVE-2022-2294這個已遭開採的漏洞。根據首先發現該漏洞攻擊的安全廠商Avast指出,開採本...
基於安全考量,微軟決定預設封鎖網路下載Office文件,微軟也的確按規畫於6月正式啟動封鎖。7月初微軟忽然宣布暫時從目前通道(Current Channel)撤回作業,並未說明理由,只表示需要改進可使用性,並在數天後澄清,這只是暫時性的,微軟仍然致力於成為所有用戶的預設。...
資安業者Check Point公布了今年第二季的品牌網釣報告,顯示微軟旗下的專業人才社交網站LinkedIn連續兩季成為最熱門的網釣品牌。 LinkedIn在今年第一季首度登上網釣冒用品牌的冠軍,該季有52%的網釣攻擊假冒了LinkedIn的名義,第二季的比例雖然下滑至45%,但依然穩居龍頭位置...
