Huntress analyzed over 12,000 Microsoft 365 tenants and found more than 60% were missing at least half of recommended security controls. Key gaps included missing MFA configurations (66%), standard users with admin-level access (55%), and insufficiently restricted admin accounts (59%). A live demo showed how a standard user account could be escalated to Global Admin in under six minutes using no novel exploits. The root causes are fear of user disruption, exception accumulation, and configuration drift going undetected. Huntress Managed ISPM addresses this by owning the hardening framework, providing a Learning Mode for safe Conditional Access rollouts, automated deployment waves, and continuous drift remediation in minutes rather than 24-hour scan cycles. The product integrates with their ITDR SOC so active threat findings feed back into closing the specific gaps that enabled each attack.
Nguồn: https://www.huntress.com/blog/microsoft-365-identity-security-five-minute-admin. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
RSK đã fork IdentityServer4 thành Open.IdentityServer, phiên bản miễn phí và mã nguồn mở cho OpenID Connect và OAuth 2.0 trên .NET, nhằm thay thế phiên bản thương mại của Duende Software. Open.IdentityServer 1.0.0 ra mắt tháng 6/2025 với giấy phép Apache 2.0, hỗ trợ di chuyển dễ dàng từ Duende chỉ bằng thay đổi NuGet package.
Nếu bạn đang phát triển ứng dụng .NET sử dụng OAuth 2.0/OpenID Connect và muốn có một giải pháp mã nguồn mở, hỗ trợ lâu dài mà không phụ thuộc vào các giải pháp thương mại, thì Open.IdentityServer là lựa chọn thay thế đáng tin cậy và dễ triển khai ngay hôm nay.
Tổng giám đốc Microsoft Satya Nadella cảnh báo rằng các công ty AI không thể vừa dự đoán mất việc hàng loạt vừa đòi quyền kiểm soát hạ tầng vô hạn, nhấn mạnh nhu cầu xây dựng một hệ sinh thái AI phân tán thay vì tập trung vào vài mô hình thống trị. Microsoft ủng hộ xu hướng này bằng cách tung ra các mô hình AI giá rẻ và cân nhắc lưu trữ DeepSeek, nhằm cạnh tranh với OpenAI và Anthropic trước các đợt IPO sắp tới.
Những lập trình viên muốn xây dựng tương lai công nghệ bền vững và cạnh tranh trong thị trường AI đang phát triển nên đọc bài này để hiểu cách cân bằng lợi ích kinh tế với trách nhiệm xã hội, tránh rủi ro về tập trung quyền lực và tìm kiếm giải pháp công bằng trong cuộc cách mạng trí tuệ nhân tạo.
Microsoft chia sẻ cách họ chuyển đổi quy trình phát triển phần mềm nội bộ bằng cách triển khai nền tảng agentic (agentic platform) xuyên suốt toàn bộ vòng đời kỹ thuật. Hơn 90% nhà phát triển Microsoft sử dụng GitHub Copilot, 90% pull request được xem xét bởi AI, và Azure SRE Agent đã tiết kiệm hơn 50.000 giờ làm việc của nhà phát triển. Những kết quả nổi bật bao gồm tỷ lệ chính xác 80-90% khi di chuyển hàng trăm kho lưu trữ, giảm 55% công việc thủ công, và 88% nhà phát triển báo cáo tăng năng suất nhiệm vụ. Bài viết giới thiệu loạt blog "Customer Zero" với các trường hợp sử dụng thực tế như tự động hóa ứng phó sự cố, quản lý bảo mật tuân thủ quy mô lớn, và chuyển đổi vận hành mạng Azure.
Những công nghệ AI như GitHub Copilot và Azure SRE Agent không chỉ là công cụ hỗ trợ, mà là cách mới để tăng hiệu quả làm việc, giảm thiểu công việc thủ công và nâng cao chất lượng phát triển phần mềm trong tương lai.
Vercel Flags giờ đây tự động xác thực thông qua OIDC tokens ngắn hạn mà không cần SDK Keys hay biến môi trường FLAGS cho các triển khai trên Vercel. Chỉ cần vercel link và vercel env pull là đủ cho phát triển local, trong khi các dự án cũ vẫn giữ nguyên yêu cầu SDK Keys cho các trường hợp đặc biệt.
Lập trình viên cần đọc bài này để hiểu cách tối ưu hóa quản lý tính năng động (flags) trong dự án Vercel mới nhất, giảm thiểu rủi ro về bảo mật khi sử dụng SDK Keys và khám phá giải pháp tự động hóa cho phát triển và triển khai.
Kẻ tấn công mạng đang khai thác các kỹ thuật như ClickFix và ConsentFix, lợi dụng hành vi người dùng thay vì lỗ hổng kỹ thuật để vượt qua đào tạo an ninh truyền thống. ConsentFix lợi dụng quy trình ủy quyền OAuth của Microsoft 365, chiếm token phiên người dùng mà không cần mật khẩu hay vượt qua MFA, với hướng dẫn chi tiết đã được đăng tải công khai trên diễn đàn tội phạm mạng Nga vào đầu năm 2026.
Lập trình viên nên đọc bài này để hiểu cách hacker exploit các lỗ hổng trong giao diện người dùng và cơ chế xác thực OAuth, giúp họ dự phòng, phát hiện và bảo vệ ứng dụng của mình trước các tấn công mới như ConsentFix.
Hướng dẫn từng bước tích hợp Okta với Google Workspace qua giao thức SCIM, bao gồm cấu hình xác thực API, quyền OAuth, đồng bộ hai chiều, quản lý mật khẩu và xác minh hoạt động người dùng.
Lập trình viên nên đọc bài này để hiểu cách tự động hóa và an toàn hóa việc quản lý người dùng giữa Google Workspace và Okta bằng SCIM, giúp tiết kiệm thời gian và tránh rủi ro khi xử lý thủ công.
An exploration of Kong Konnect's two API authentication surfaces — the platform admin API (using personal access tokens) and the Dev Portal developer API (using portalaccesstokens) — and why neither enables fully automated, agent-first onboarding. The author benchmarks Kong against SoundCloud's programmatic onboarding flow and finds Kong lands in a 'paste a token' bucket: the first credential still requires a human clicking through a UI. A complete Node.js script is provided that automates everything after that bootstrap step, supporting both admin listing and developer application registration with Key-Auth or OIDC/DCR credentials. The post closes with a call for Kong to publish a stable, documented public developer portal API that lets agents onboard end-to-end without manual console interaction.
The UNC1151 (Ghostwriter) threat group ran a targeted phishing campaign against Belarusian pro-democracy politician Yury Hubarevich using a fake Google account-security warning in Russian. The attack chain used a compromised Ukrainian site to redirect victims to a fake Gmail login page that employed a real-time WebSocket connection to capture credentials and MFA codes, effectively bypassing SMS-based and OTP multi-factor authentication. Researchers at Censys traced the campaign through certificate artifacts and infrastructure pivoting to a broader phishing network targeting users in Belarus and Ukraine, including users of regional portals. Key takeaways for security teams include prioritizing phishing-resistant MFA (hardware keys/passkeys) for high-risk users, training users to verify account warnings via official channels rather than email links, and monitoring certificate reuse and domain naming patterns to uncover related phishing infrastructure.