要聞速覽

1、《數(shù)據(jù)安全技術(shù) 政務(wù)數(shù)據(jù)處理安全要求》等6項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)發(fā)布

2、國(guó)家數(shù)據(jù)局組織開(kāi)展2025年可信數(shù)據(jù)空間創(chuàng)新發(fā)展試點(diǎn)工作

3、CNVD：關(guān)于Foxmail郵件客戶(hù)端存在跨站腳本攻擊漏洞的安全公告

4、微軟Exchange管理中心遭遇全球性服務(wù)中斷

5、5分鐘造出假護(hù)照！ChatGPT-4o暴露KYC系統(tǒng)致命漏洞

6、澳大利亞養(yǎng)老金系統(tǒng)遭遇憑證填充攻擊，2萬(wàn)賬戶(hù)被劫持

一周政策要聞

《數(shù)據(jù)安全技術(shù) 政務(wù)數(shù)據(jù)處理安全要求》等6項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)發(fā)布

根據(jù)2025年3月28日國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告（2025年第6號(hào)），全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的6項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布。具體清單如下：

信息來(lái)源：全國(guó)網(wǎng)安標(biāo)委 https://mp.weixin.qq.com/s/fFadqWN-sSwND8CX_5RRFA

國(guó)家數(shù)據(jù)局組織開(kāi)展2025年可信數(shù)據(jù)空間創(chuàng)新發(fā)展試點(diǎn)工作

根據(jù)通知，為落實(shí)《可信數(shù)據(jù)空間發(fā)展行動(dòng)計(jì)劃（2024—2028年）》（國(guó)數(shù)資源〔2024〕119號(hào)）工作部署，引導(dǎo)和支持可信數(shù)據(jù)空間發(fā)展，促進(jìn)數(shù)據(jù)要素合規(guī)高效流通，深化數(shù)據(jù)資源開(kāi)發(fā)利用，國(guó)家數(shù)據(jù)局綜合司現(xiàn)組織開(kāi)展2025年可信數(shù)據(jù)空間創(chuàng)新發(fā)展試點(diǎn)工作。

試點(diǎn)工作重點(diǎn)面向應(yīng)用需求旺盛、發(fā)展基礎(chǔ)良好、經(jīng)濟(jì)社會(huì)價(jià)值高、示范帶動(dòng)力強(qiáng)的領(lǐng)域，組織開(kāi)展企業(yè)、行業(yè)、城市三類(lèi)可信數(shù)據(jù)空間試點(diǎn)工作，通過(guò)兩年試點(diǎn)培育，形成一批資源豐富、應(yīng)用創(chuàng)新、生態(tài)繁榮、成效顯著的可信數(shù)據(jù)空間，在數(shù)據(jù)資源開(kāi)發(fā)利用、數(shù)據(jù)安全可信流通、數(shù)據(jù)要素價(jià)值共創(chuàng)、數(shù)據(jù)制度機(jī)制創(chuàng)新等方面，形成可復(fù)制推廣的經(jīng)驗(yàn)?zāi)Ｊ剑剿鲾?shù)據(jù)資源規(guī)?；魍ɡ眯履Ｊ叫侣窂?，積累國(guó)家數(shù)據(jù)基礎(chǔ)設(shè)施運(yùn)營(yíng)經(jīng)驗(yàn)，支撐全國(guó)一體化數(shù)據(jù)市場(chǎng)建設(shè)。

消息來(lái)源：國(guó)家數(shù)據(jù)局 https://mp.weixin.qq.com/s/3gYu3E7PAGoLpNm8FN_Efg

業(yè)內(nèi)新聞速覽

CNVD：關(guān)于Foxmail郵件客戶(hù)端存在跨站腳本攻擊漏洞的安全公告

4月10日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）發(fā)布《關(guān)于Foxmail郵件客戶(hù)端存在跨站腳本攻擊漏洞的安全公告》，指出Foxmail郵件客戶(hù)端跨站腳本攻擊漏洞（CNVD-2025-06036）已發(fā)現(xiàn)被利用進(jìn)行攻擊。

Foxmail是我國(guó)知名電子郵件客戶(hù)端之一，目前由騰訊公司運(yùn)行維護(hù)。 由于Foxmail在處理加載郵件正文時(shí)，對(duì)危險(xiǎn)內(nèi)容的過(guò)濾處理邏輯存在缺陷，攻擊者構(gòu)造包含惡意指令代碼的電子郵件向目標(biāo)用戶(hù)發(fā)送，目標(biāo)用戶(hù)僅需使用Foxmail打開(kāi)惡意郵件，無(wú)需其他點(diǎn)擊操作，惡意指令代碼即可被用戶(hù)主機(jī)加載執(zhí)行，具有較高的攻擊隱蔽性。攻擊者繼而利用其他漏洞，在未授權(quán)的前提下實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的木馬文件本地寫(xiě)入和控制權(quán)限獲取。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“中危”。漏洞影響的產(chǎn)品和版本：Foxmail < 7.2.25。3月28日，官方已緊急發(fā)布新版本修復(fù)該漏洞。CNVD建議受影響的單位和用戶(hù)立即將Foxmail升級(jí)至最新版本：https://www.foxmail.com/，并提醒用戶(hù)做好安全防范措施，不要打開(kāi)來(lái)歷不明的郵件。

消息來(lái)源：CNVD漏洞平臺(tái) https://mp.weixin.qq.com/s/2spz-3jU7Sk15G44EuA9qg

微軟Exchange管理中心遭遇全球性服務(wù)中斷

FREEBUF 4月10日消息，微軟已確認(rèn)Exchange管理中心（Exchange Admin Center，EAC）發(fā)生全球性服務(wù)中斷，導(dǎo)致管理員無(wú)法訪(fǎng)問(wèn)關(guān)鍵管理工具。該故障被標(biāo)記為關(guān)鍵服務(wù)事件（編號(hào)EX1051697），對(duì)依賴(lài)Exchange Online的企業(yè)造成廣泛影響。

管理員嘗試登錄EAC時(shí)遭遇"HTTP 500錯(cuò)誤"，表明服務(wù)器內(nèi)部故障。該錯(cuò)誤導(dǎo)致無(wú)法執(zhí)行包括郵箱和群組管理在內(nèi)的核心管理功能。微軟承認(rèn)該問(wèn)題影響范圍可能波及全球，目前正在積極調(diào)查。部分管理員報(bào)告稱(chēng)，通過(guò)備用URL：https://admin.cloud.microsoft/exchange#/，可成功訪(fǎng)問(wèn)EAC。微軟正在驗(yàn)證此臨時(shí)解決方案的有效性，并將很快發(fā)布確認(rèn)通知，建議管理員在等待更新期間嘗試此方法。微軟工程師已發(fā)現(xiàn)錯(cuò)誤率激增現(xiàn)象，正在審查近期服務(wù)變更作為潛在故障原因。

EAC是管理Exchange Online環(huán)境的重要工具，尤其對(duì)配置復(fù)雜的企業(yè)至關(guān)重要。雖然PowerShell可執(zhí)行部分管理任務(wù)，但多數(shù)用戶(hù)更青睞基于網(wǎng)頁(yè)的圖形界面。微軟承諾將優(yōu)先解決此次中斷事件，建議管理員通過(guò)Microsoft 365管理中心獲取實(shí)時(shí)更新。受影響的用戶(hù)可嘗試使用建議的備用URL或其他管理方式，直至服務(wù)恢復(fù)正常。

消息來(lái)源：FREEBUF https://mp.weixin.qq.com/s/Pk8FM4L8Ar9IKZbCSbA89g

5分鐘造出假護(hù)照！ChatGPT-4o暴露KYC系統(tǒng)致命漏洞

近日，波蘭研究員Borys Musielak展示了使用ChatGPT-4o在短短五分鐘內(nèi)創(chuàng)建假護(hù)照的驚人能力，成功繞過(guò)了Revolut和Binance等金融科技平臺(tái)使用的基本KYC（了解你的客戶(hù)）檢查，這些平臺(tái)主要依靠照片ID上傳和用戶(hù)自拍進(jìn)行身份驗(yàn)證。Musielak在社交媒體X平臺(tái)上強(qiáng)調(diào)，這意味著任何依賴(lài)圖像作為"證明"的驗(yàn)證流程現(xiàn)在已經(jīng)過(guò)時(shí)，包括靜態(tài)或視頻自拍——生成式AI都能輕松偽造。

與傳統(tǒng)偽造不同，Musielak避開(kāi)了常見(jiàn)的AI缺陷，證明了現(xiàn)在制作令人信服的假證件比使用Photoshop等工具更快捷高效。安全專(zhuān)家警告，這種技術(shù)進(jìn)步可能導(dǎo)致大規(guī)模身份盜竊、欺詐信用申請(qǐng)和假賬戶(hù)創(chuàng)建變得更加容易實(shí)施。他們呼吁加強(qiáng)防御措施，包括更廣泛地使用基于NFC的驗(yàn)證和電子身份證件(eIDs)，這些提供更強(qiáng)大的硬件級(jí)別認(rèn)證。

值得注意的是，在Musielak演示后數(shù)小時(shí)內(nèi)，ChatGPT開(kāi)始拒絕類(lèi)似請(qǐng)求，引用其安全政策禁止生成假文件。

消息來(lái)源：安全牛 https://mp.weixin.qq.com/s/vFoYXrDxtMYjUAQHlkgQEA

澳大利亞養(yǎng)老金系統(tǒng)遭遇憑證填充攻擊，2萬(wàn)賬戶(hù)被劫持

安全內(nèi)參4月9日消息，澳大利亞多家養(yǎng)老金基金提供商近日遭遇大規(guī)模網(wǎng)絡(luò)攻擊，據(jù)報(bào)道約有2萬(wàn)個(gè)客戶(hù)賬戶(hù)被黑客劫持，攻擊手法疑似為憑證填充攻擊。

澳大利亞養(yǎng)老金基金協(xié)會(huì)(ASFA)于上周五發(fā)表聲明，確認(rèn)黑客在前一周末針對(duì)"多家基金"發(fā)起攻擊。聲明稱(chēng)："雖然大多數(shù)攻擊嘗試被成功阻止，但不幸的是仍有部分會(huì)員受到影響。相關(guān)基金正在聯(lián)系所有受影響會(huì)員并為數(shù)據(jù)遭到泄露的用戶(hù)提供幫助。"據(jù)當(dāng)?shù)匦侣剤?bào)道，此次事件可能導(dǎo)致數(shù)萬(wàn)個(gè)賬戶(hù)被入侵，損失金額高達(dá)50萬(wàn)美元。

其中，管理著約3650億澳元(約2190億美元)資產(chǎn)、擁有約350萬(wàn)會(huì)員的澳大利亞最大的養(yǎng)老金基金AustralianSuper確認(rèn)有600名會(huì)員受到網(wǎng)絡(luò)攻擊影響。管理約930億澳元(約560億美元)的Rest Super表示約有8000名會(huì)員的"有限個(gè)人信息被訪(fǎng)問(wèn)"，包括名字、電子郵件地址和會(huì)員識(shí)別號(hào)碼，但聲稱(chēng)這些受害者的資金未受影響。

來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái)，僅用于分享，并不意味著贊同其觀(guān)點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問(wèn)題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！