2026年9月起MicrosoftEntraID将通行密钥设为默认认证,逐步淘汰短信语音MFA;美国国防部暂停网络安全成熟度认证第二阶段强制审核|牛览

admin 2026-07-16 04:57:52 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 2026年7月网络安全领域多项重大事件:微软宣布自9月起将通行密钥设为MicrosoftEntraID默认认证并逐步淘汰短信语音MFA;美国国防部暂停CMMC第二阶段强制审核启动60天改革复盘;ESET披露微软11款老旧shim未吊销致SecureBoot近13年可被绕过;医疗行业上半年风险激增供应链与身份管理成痛点;西班牙警方破获1.4亿欧元BEC诈骗团伙;日本最大出租车企业遭恶意软件入侵系统停运。建议企业调整设备注册上限限制设备码认证并更新系统修复SecureBoot漏洞。 综合评分: 87 文章分类: 安全建设,政策法规,漏洞分析,恶意软件,红队


cover_image

2026年9月起Microsoft Entra ID将通行密钥设为默认认证,逐步淘汰短信语音MFA;美国国防部暂停网络安全成熟度认证第二阶段强制审核| 牛览

安全牛

2026年7月15日 12:33 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

新闻速览

  • 2026 上半年医疗行业网络安全风险激增,供应链与身份管理成两大核心痛点
  • Microsoft 365 防护现重大缺口,两类钓鱼工具突破 MFA 快速窃取企业核心数据
  • 西班牙警方破获涉案 1.4 亿欧元 BEC 诈骗团伙,跨国抓捕 4 名核心嫌犯
  • 美国国防部暂停网络安全成熟度认证第二阶段强制审核,启动 60 天全面改革复盘
  • 恶意软件入侵日本最大出租车企业 Nihon Kotsu,调度系统全面停运
  • Cloudflare 推出 Precursor:基于全会话持续行为分析抵御 AI 自动化爬虫
  • 2026 年 9 月起 Microsoft Entra ID 将通行密钥设为默认认证,逐步淘汰短信语音 MFA
  • 美国最高法院收紧地理围栏搜查,车牌识别网络或成下一个隐私争议焦点
  • ESET 披露重大漏洞:微软 11 款老旧 shim 长期未吊销,Secure Boot 近 13 年可被轻易绕过
  • 欧盟拟设社交媒体“最低年龄门槛”,未成年人使用或需监护人监督

特别关注

2026 年 9 月起 Microsoft Entra ID 将通行密钥设为默认认证,逐步淘汰短信语音MFA

2026 年 7 月微软公布身份认证重大调整计划,自 2026 年 9 月 1 日起,公有云 Microsoft Entra ID 将把 passkey(通行密钥)设为默认认证方案。 已开启短信、语音多因素认证(MFA)的企业租户将自动启用该功能,用户完成 MFA 校验时,系统会弹窗引导注册通行密钥。

政策分两阶段落地,2027 年 2 月 1 日起,仅依靠短信、语音完成 MFA 的用户,必须先注册 passkey 方可登录,全租户无法关闭强制注册提醒。同时微软将下线自有短信、语音原生认证能力,不再内置该服务。

若企业因合规、业务需求仍需短信 / 语音验证,可通过 Microsoft Security Store 对接第三方电信服务商,相关通信费用由企业自行承担。2026 年 9 月 18 日微软将公布合作厂商清单、部署文档与商务条款,10 月 30 日起管理员可配置第三方服务商。

微软身份与网络访问工程副总裁 Nadim Abdo 表示,将 passkey 设为默认认证,能够降低企业对易遭钓鱼攻击的验证方式的依赖,有效抵御凭证窃取与钓鱼入侵风险。相较于短信、语音验证码,通行密钥无传输泄露风险,是更安全的免密码身份验证方案。

原文链接:

https://www.helpnetsecurity.com/2026/07/14/microsoft-entra-passkey-authentication/

热点观察

2026 上半年医疗行业网络安全风险激增,供应链与身份管理成两大核心痛点

2026 年 7 月 14 日,安全机构 Fortified Health Security 发布年中报告,披露医疗行业网络安全风险管控形势持续恶化,供应链风险、身份访问管理(IAM)是两大长期难解难题。

数据显示,2026 上半年医疗机构仅完成 6% 风险整改,较 2025 上半年 23% 的整改率大幅下滑;同期高危、严重级漏洞总量同比上涨 60%,行业呈现漏洞排查速度远超修复能力的困境。

供应链风险涨幅最为突出,2026 上半年第三方供应链风险识别量为去年同期 6 倍,近三分之二属于高危漏洞。医院依赖大量软硬件厂商,单一供应商泄露会引发全行业连锁风险,但多数机构缺少成熟第三方风险处置机制。

身份权限管控隐患同步加剧,相关漏洞数量同比增至 4 倍。大量流动医护人员提升账号管理难度,92% 医疗网络域存在超三年未更新密码的管理员账号。机构 IAM 流程虽有优化,但多设备、多用户身份核验、权限校验工作仍存在巨大短板,攻击者常借账号漏洞横向渗透内网。

报告同步给出防护建议:老旧医疗设备需独立防火墙隔离,禁止使用域管理员账号运行淘汰设备;全员常态化开展网络攻击应急演练,建立事件处置肌肉记忆。机构需摒弃 “攻击概率低便疏于防护” 的思维,提前完成事前防御部署,应对必然发生的网络安全事件。报告同时提及美国卫生与公众服务部更新后的 HIPAA 安全规则相关合规要求。

原文链接:

https://www.cybersecuritydive.com/news/healthcare-cybersecurity-risk-management-identity-fortified/825175/

美国最高法院收紧地理围栏搜查,车牌识别网络或成下一个隐私争议焦点

美国最高法院 Chatrie v. United States 判决落地后,法律学者与隐私保护人士提出,该判例将重塑自动车牌识别(ALPR)设备的数据调取规则,未来警方调取车牌轨迹数据或将强制要求搜查令。

该案是八年来最高法院首个第四修正案核心判例,裁定警方调取谷歌地理围栏位置记录必须持有搜查令。法院重点指出,回溯式、无差别批量位置数据可暴露大量私人活动轨迹,该判定逻辑同样适用于 ALPR 采集信息。

头部厂商 Flock Safety 在全美部署 9 万至 10 万台 ALPR 摄像头,每月采集约 20 亿条车牌记录,是警方锁定嫌疑人的核心工具。法律人士 Michael Soyfer 表示,法院评判标准聚焦数据库整体监控能力,而非单次调取行为,这大幅削弱警方无令调取车牌数据的合法性。

法学教授 Andrew Guthrie Ferguson 补充,ALPR 并非独立设备,其数据会联动公安数据库、公共监控、无人机影像等多源信息,可构建完整个人出行画像,与手机位置数据隐私风险高度趋同。

Flock Safety 官方持反对观点,称 ALPR 仅捕捉公共道路瞬时车辆画面,与手机跨公私场景连续轨迹存在本质区别,现有司法判例一贯区分两类设备,本次裁决不会改变现有合规框架。

业内分析,若 ALPR 调取强制要求搜查令,将彻底改变现代警务取证模式;该判例同时会反向影响反向关键词检索、基站数据调取、商业位置数据采购等各类监控取证场景。

原文链接:

https://therecord.media/license-plate-cameras-may-be-next-target-after-supreme-court-reins-in-location-tracking

欧盟拟设社交媒体“最低年龄门槛”,未成年人使用或需监护人监督

2026 年 7 月 13 日消息,欧盟正式提出社交媒体无监护使用最低年龄监管方案,欧盟委员会主席 Ursula von der Leyen 对外公布该保护举措,旨在降低社交平台对未成年人造成的各类网络伤害。

该法规草案依托专家调研报告制定,核心规则为:未满 13 周岁未成年人仅可在家长监护前提下有限访问社交平台。该要求与现有隐私法规下各平台自行设置的 13 岁准入门槛形成政策呼应,并非全面禁止儿童使用网络,而是推行适配年龄的分级管控模式,明确家长、监护人、教师需承担监护引导责任。

除社交媒体外,欧盟还计划全面梳理各类线上服务的年龄限制标准,甄别易对未成年人产生不良影响的平台,搭建阶梯式青少年上网规范:3 岁以下儿童严格限制屏幕使用时长,随年龄增长配套对应强度的监护机制。

后续欧盟将推进配套细则落地,统一各类互联网服务的未成年人准入、管控规则,完善欧盟区域未成年人数字权益保护体系,同步联动现有数字服务相关监管法案,压实平台未成年人防护主体责任。

原文链接:

https://www.scmagazine.com/brief/eu-proposes-minimum-age-for-unsupervised-social-media-use

安全事件

Microsoft 365 防护现重大缺口,两类钓鱼工具突破 MFA 快速窃取企业核心数据

2026 年 7 月 14 日,网络安全厂商 ReliaQuest 披露两款新型钓鱼套件 Jalisco、OmegaLord,专门针对 Microsoft 365 账号设计,可突破多因素认证(MFA)防护体系。

Jalisco 依托 OAuth 2.0 设备授权流程发起设备码钓鱼攻击。攻击者生成实时有效设备授权码,诱导受害者在微软官方登录页输入验证码,授权黑客设备接入账号。该工具自动刷新设备码,规避微软 15 分钟有效期限制,配套后台可批量管控被盗账号,单账号最多可被注册 5 台伪装成 Microsoft、Windows 的恶意设备。账号沦陷后,攻击者最快 6 分钟即可从 SharePoint 等 SaaS 平台窃取员工个人信息、财务数据,随后实施数据勒索。

OmegaLord 采用传统仿站思路,伪造 PDF 阅读器登录界面,同步盗取邮箱、密码与绑定手机号,依靠手机号拦截、篡改 MFA 验证信息,绕开二次校验。

当前同类设备码钓鱼工具还包含 EvilTokens、Kali365 等多款套件,针对企业云办公平台形成成熟攻击链条。

ReliaQuest 给出防御方案:将 Microsoft Entra ID 设备注册上限从默认 50 下调至 1 至 2 台;通过 Entra 条件访问策略阻断设备码认证;限制 Okta 的 OAuth 设备授权流程;定期审计清理闲置第三方应用注册权限。

原文链接:

https://www.bleepingcomputer.com/news/security/new-phishing-kits-target-microsoft-365-accounts-evade-mfa/

西班牙警方破获涉案 1.4 亿欧元 BEC 诈骗团伙,跨国抓捕 4 名核心嫌犯

2026 年 7 月 14 日消息,西班牙警方联合国际刑警、欧洲刑警开展跨国行动,成功捣毁依托企业邮件劫持(BEC)、投资诈骗牟利的大型网络犯罪洗钱团伙,涉案总金额达 1.4 亿欧元,4 名核心嫌疑人在西班牙、葡萄牙、巴拿马三地落网。

该团伙采用工业化作案模式,搭建完整资金流转体系,控制 800 余个个人账户、120 个企业账户,联动 67 名 “钱骡” 跨境分流赃款。经核查,9400 万欧元赃款直接流经该洗钱网络,另有 6100 万欧元关联 2024 年系列 BEC 攻击。

团伙主打 CEO 欺诈、虚假发票诈骗两类社工攻击,伪装企业高管诱骗企业向犯罪账户转账;赃款到账后迅速拆分,通过多层跨国家账户链条隐匿资金流向,完成洗白。

案件源于警方排查 19 家关联企业时发现异常洗钱痕迹,随后启动跨境联合侦办。执法人员搜查西班牙巴塞罗那、赫罗纳、塔拉戈纳及葡萄牙波尔图共 6 处窝点,扣押 15 台电脑、170 余部手机,涉案设备用于发起上万笔欺诈转账;当场冻结 300 万欧元赃款,后续将返还受害企业。

警方表示,该多层级洗钱网络已被彻底瓦解,全部核心运营人员均已抓捕归案,为防范同类 BEC 诈骗提供典型跨境犯罪参考案例。

原文链接:

https://www.bleepingcomputer.com/news/security/spanish-police-take-down-140-million-cyber-fraud-ring-arrest-four/

恶意软件入侵日本最大出租车企业 Nihon Kotsu,调度系统全面停运

2026 年 7 月 13 日,日本头部出租车运营企业 Nihon Kotsu 对外披露,7 月 11 日凌晨其内部系统遭外部非法入侵并感染恶意软件。企业第一时间关停全线系统阻断威胁扩散,线上预约、电话调度及多项内部业务系统同步暂停服务。

受故障影响,原有线上包车预约渠道、电话叫车功能全部失效。企业引导乘客改用 GO taxi App 选择 Nihon Kotsu 车辆,或前往出租车站、路边扬招乘车,但提前预约业务仍无法恢复。

目前企业已隔离内网防止恶意软件横向扩散,联合外部安全专家开展溯源、日志排查与攻击范围评估。针对客户个人信息安全,企业表示暂未确认数据泄露事件,相关专项调查仍在推进。若后续查实用户隐私信息外泄,将依照日本《个人信息保护法》单独通知受影响人群,并对外公开完整事件详情。

企业现阶段核心工作为安全环境下恢复系统,将持续对外同步调查与修复进度。同时官方发布风险预警,提醒用户警惕伪装成该公司的可疑邮件、消息,切勿点开陌生附件与链接,防范衍生钓鱼诈骗风险。

原文链接:

Malware Hits Japan’s Largest Taxi Company Nihon Kotsu, Services Temporarily Suspended

安全攻防

ESET 披露重大漏洞:微软 11 款老旧 shim 长期未吊销,Secure Boot 近 13 年可被轻易绕过

安全厂商ESET披露,Microsoft主导的UEFI Secure Boot机制存在长达13年的安全隐患。由于微软未及时撤销(revoke)已知存在漏洞的旧版Shim,使攻击者仅需获取仍受信任的旧Shim二进制文件,即可绕过Secure Boot验证,在Windows和Linux设备上加载恶意UEFI Bootkit,实现持久化控制。

Secure Boot于2012年推出,旨在通过UEFI建立启动信任链,阻止未授权代码在系统启动阶段执行。Shim作为Linux及部分第三方工具接入Secure Boot的中间引导程序,由Microsoft签名后成为第二级信任锚。ESET发现,共有11个已知存在缺陷的Shim仍保留有效签名,其中最早可追溯至2013年,部分缺少SBAT、MOK deny list等后续安全机制,部分关联已公开漏洞(如CVE-2015-5381),还有部分自身存在安全缺陷。

研究人员指出,攻击无需利用新的漏洞,也不需要复杂利用链,只需使用这些未被撤销的旧Shim,即可破坏Secure Boot信任链,部署Bootkit。此类恶意代码可在操作系统加载前运行,即使重装系统或更换硬盘仍可持续存在。受影响对象包括Windows和Linux设备,但默认配置下的Windows11Secured-core PC受影响较小。

在ESET向CERT和Microsoft报告后,微软已于2026年6月例行安全更新中撤销相关Shim。Windows用户安装6月安全更新即可获得修复,Linux用户则需通过发行版或Linux Vendor Firmware Service更新,并可使用uefi-dbx-audit检查撤销状态。ESET认为,此次事件暴露出Secure Boot信任体系及其撤销机制管理过于复杂,也再次引发业界对Microsoft作为UEFI根信任管理者的讨论。

原文链接:

https://arstechnica.com/security/2026/07/microsoft-secure-boot-has-been-broken-for-most-of-its-existence/

产业动态

美国国防部暂停 网络安全成熟度认证第二阶段强制审核,启动 60 天全面改革复盘

2026 年 7 月 14 日消息,美国国防部(DoD)宣布暂缓网络安全成熟度认证(CMMC)第二阶段落地,原计划 2026 年 11 月 10 日生效的强制第三方审核要求全面暂停,将组建专项改革工作组开展为期 60 天的全流程复盘。

CMMC 分四阶段推进军工供应链安全管控,第一阶段仅要求企业自主申报合规;第二阶段要求处理受控非密信息(CUI)的军工企业,委托 C3PAO 第三方机构完成 NIST SP 800-171 共 110 项安全控制项独立核查,全美约 8 万家企业需落实该要求。但 2025 年 10 月 CyberSheath 调研显示,仅 1% 军工企业做好审计准备。

国防部表示,现行 CMMC 体系带来高昂合规成本与冗余行政负担,大量中小创新企业被迫退出国防工业基础(DIB),影响军用装备交付效率。本次改革将降低中小厂商准入门槛,用轻量化、可落地的安全机制替代繁琐纸面合规。

过渡期内,军方仍沿用 NIST SP 800-171 Rev 2 标准,以企业自评、政府抽查为主,侧重实际安全防护能力而非流程文书。行业专家提醒,暂停不等于放宽标准,CMMC 一级自评要求持续生效,企业应利用窗口期完善安全建设,不可搁置合规整改。原第三、四阶段 2027 至 2028 年的推进计划同步搁置,整体体系走向尚未明确。

原文链接:

https://www.infosecurity-magazine.com/news/us-pentagon-suspends-cmmc-2/

新品发布

Cloudflare 推出 Precursor:基于全会话持续行为分析抵御 AI 自动化爬虫

Cloudflare宣布正式推出Precursor,这是一款基于浏览器的行为验证引擎,通过持续分析用户在整个会话中的行为,识别日益复杂的自动化Bot流量,并减少对传统CAPTCHA验证的依赖。

Cloudflare数据显示,目前Bot约占全部Web请求的57%,已超过人类产生的流量。随着AI Agent和高级自动化技术快速发展,自动化程序越来越能够模拟单次用户操作,传统“一次性验证”机制面临更大挑战。

与逐次请求或单一时间点验证不同,Precursor会在整个浏览会话中持续分析鼠标移动、滚动模式、输入节奏、剪贴板活动和页面可见性等行为信号。部分Bot可以绕过一次性安全检查,却难以在较长时间内持续复制真实用户行为。基于这一特点,系统可动态更新访问者的Bot风险评分,而无需在页面刷新后重新开始验证。

在隐私方面,Cloudflare表示,Precursor以聚合方式收集行为数据。例如,键盘输入仅分析时间和节奏,不记录用户实际输入内容。

部署Precursor无需修改应用代码。企业只需启用相关配置,Cloudflare即可通过其网络注入轻量级脚本,采集浏览器遥测数据并实时分析自动化行为模式。

Cloudflare首席技术官Dane Knecht表示,现代Bot已能够模仿孤立的用户操作。持续观察完整会话中的行为,有助于提高自动化活动识别能力,同时减少对正常用户的验证干扰。

原文链接:

Cloudflare launches precursor to strengthen bot detection through continuous behavioural analysis

联系我们

合作电话:18610811242

合作微信:aqniu001

联系邮箱:[email protected]


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全牛 《2026年9月起Microsoft Entra ID将通行密钥设为默认认证,逐步淘汰短信语音MFA;美国国防部暂停网络安全成熟度认证第二阶段强制审核| 牛览》

评论:0   参与:  0