← 返回博客
安全简报 2026年2月19日 7分钟阅读

霍尼韦尔监控认证绕过 + Figure百万账户泄露

CISA警告霍尼韦尔监控摄像头严重漏洞(CVSS 9.8)允许未经授权访问。Figure金融科技泄露通过社会工程暴露近100万账户。四个VS Code扩展具有1.25亿+下载量包含严重缺陷。Microsoft Copilot漏洞自1月以来绕过DLP策略


严重:霍尼韦尔监控摄像头认证绕过

CISA公告:CVE-2026-1670 — CVSS 9.8

CISA警告关键基础设施中使用的多个霍尼韦尔监控产品存在严重漏洞。攻击者可以在不认证的情况下劫持账户并访问摄像头视频流。

由研究员Souvik Kanda发现,CVE-2026-1670被归类为"关键功能缺少认证"。该缺陷允许未经认证的攻击者更改与设备账户关联的恢复电子邮件地址,从而实现完全账户接管。

受影响型号

型号 固件版本
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

这些符合NDAA标准的摄像头部署在美国政府机构、联邦承包商和关键设施中。CISA建议:


Figure金融科技:96.72万账户泄露

ShinyHunters声称对社会工程攻击负责

区块链原生金融科技公司Figure Technology Solutions遭受泄露,影响近100万账户。攻击通过社会工程执行。

Figure与250多个合作伙伴(包括银行、信用合作社和金融科技公司)一起解锁了超过220亿美元的房屋净值,向TechCrunch确认了该事件。攻击者使用语音钓鱼(vishing)欺骗员工提供访问权限。

暴露数据

ShinyHunters勒索组织在其暗网站点上泄露了来自数千名贷款申请人的2.5GB数据。这是针对Okta、Microsoft和Google的SSO账户的更大活动的一部分,涉及100多个知名组织

🎯 攻击模式

攻击者冒充IT支持,致电员工,欺骗他们在模仿公司登录门户的钓鱼站点上输入凭据和MFA代码。一旦进入,他们就可以访问连接的企业应用程序,包括Salesforce、Microsoft 365、Google Workspace、Slack和Dropbox。


VS Code扩展:1.25亿+下载量受影响

严重缺陷使文件窃取和远程代码执行成为可能

OX Security研究人员在四个流行的VS Code扩展中发现了多个漏洞。三个CVE仍然未修补

"黑客只需要一个恶意扩展,或一个扩展中的单个漏洞,就可以进行横向移动并危害整个组织,"研究人员警告说。

CVE 扩展 CVSS 影响
CVE-2025-65717 Live Server 9.1 通过恶意网站窃取本地文件
CVE-2025-65716 Markdown Preview Enhanced 8.8 通过.md文件执行任意JavaScript
CVE-2025-65715 Code Runner 7.8 通过settings.json执行任意代码
Microsoft Live Preview 敏感文件窃取(在v0.4.16中修复)

立即行动


Microsoft Copilot绕过DLP策略

自1月21日起活跃的漏洞 — 汇总机密电子邮件

Microsoft 365 Copilot漏洞一直导致AI助手汇总机密电子邮件,绕过保护敏感信息的数据丢失防护(DLP)策略。

跟踪为CW1226324,此漏洞影响Copilot"工作选项卡"聊天功能。它错误地读取和汇总已发送邮件和草稿文件夹中的电子邮件 — 包括具有明确设计限制自动工具访问的机密标签的邮件。

时间线

Microsoft表示:"这并没有向任何人提供他们未被授权查看的信息的访问权限......已为企业客户在全球部署了配置更新。"

企业建议

查看自1月21日以来的Copilot活动日志。验证敏感标签内容是否未无意中包含在共享给预期接收者之外的Copilot摘要中。


其他头条

德克萨斯州起诉TP-Link涉及中国黑客风险

德克萨斯州起诉TP-Link Systems,指控该公司欺骗性地将路由器营销为安全的,同时允许中国国家支持的黑客利用固件漏洞。

国际刑警组织红卡行动2.0

16个非洲国家逮捕651人。追回超过430万美元。行动针对与4500万美元损失相关的投资欺诈、移动货币诈骗和欺诈性贷款应用程序。

PromptSpy:首个滥用Gemini AI的恶意软件

ESET发现使用Google的Gemini AI维持持久性的Android恶意软件。该恶意软件利用生成式AI分析屏幕并生成逐步指令以保持其在最近应用中的固定状态。

尼日利亚黑客因税务欺诈被判8年

因黑客攻击马萨诸塞州多家税务准备公司并提交欺诈性申报表寻求超过810万美元退款而被判刑。


今日数据

指标 数值
Figure泄露受影响账户 967,200
霍尼韦尔CVE严重性(CVSS) 9.8
VS Code扩展风险下载量 1.25亿+
Copilot DLP绕过持续时间 约30天
国际刑警组织逮捕(红卡行动2.0) 651
ShinyHunters针对的组织 100+

今日优先事项

  1. 隔离:霍尼韦尔监控系统 — 立即应用网络分段
  2. 审计:VS Code扩展 — 在修补前禁用Live Server、Markdown Preview Enhanced、Code Runner
  3. 培训:关于语音钓鱼攻击的安全意识(ShinyHunters剧本)
  4. 验证:Microsoft Copilot DLP合规性 — 查看自1月21日以来的活动
  5. 审查:SSO安全控制 — MFA绕过抵抗力

使用KENSAI保护你的组织

AI驱动的漏洞管理,已索引333,000+ CVE。

开始免费扫描

保持安全。保持警惕。

🗡️ KENSAI安全团队

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home