Auth Bypass

• NTLM-Relaying が SMB/LDAP の署名要件により実用不可能とされたが、特定の Web サーバーで引き続き有効であることが示された。
• Extended Protection for Authentication (EAP) を強制しない Web サーバーを標的とした新たな攻撃手法「WebRelayX」の開発報告。
• 従来の NTLM 認証キャプチャー攻撃の再燃リスクを示し、Web サーバー側の脆弱性対策が依然として重要であるとしている。

NTLM-Relaying が死んだとされる中で新たな発想で有効化されたため、セキュリティ基盤の刷新や教育に即した最新知見である。

• 株式会社GROWIのOpenAIスレッド・メッセージ APIに権限チェック欠如（CWE-862）の脆弱性が確認されました。
• ログインユーザー以外が他のユーザーのAIアシスタントメッセージを閲覧・改ざんできる高リスク問題です。
• 最新版v7.4.6への更新が推奨され、GMOサイバーセキュリティby イエラエ株式会社によって報告されました。

共有AIアシスタントデータへの不正アクセスと改ざんが可能であり、ユーザー間での情報漏洩リスクが高いため、セキュリティ対策の即時対応が必要です。