Gandrīz seši mēneši bija nepieciešami, lai Microsoft labotu divas ievainojamības, kuru dēļ mūsu dati ir apdraudēti

Kad mēs runājam par mūsu datoru drošību, mēs vienmēr domājam par maršrutētāju kā pirmo punktu, kas mums jāuzrauga. Mēs uztraucamies par drošības kontroli savā vidē, bet Kas notiek, ja tas nav atkarīgs no mums? Ja kļūmi izraisa uzņēmumi, kas sniedz mums nelielus pakalpojumus, mēs var darīt.

Atkal atsaucamies uz mūsu iekārtu drošību un atkal lielo uzņēmumu kļūmes dēļ. Ja nesen Google paziņoja par kļūdu, kas apdraudēja miljoniem lietotāju drošību, tad tagad Microsoft ir paziņojis, ka ir atklāti Outlook, Microsoft Store lietotāju dati… uz iespējamiem uzbrukumiem

Kļūda domēnā success.office.com, iespējams, apdraudēja Microsoft lietotājus. To ir atklājis drošības detektīva pētnieks Sahads Nk, kurš atklājis divas ievainojamības, kuru dēļ ir apdraudēts viss, sākot no mūsu Office dokumentiem un beidzot ar Outlook e-pastiem.

Acīmredzot tika atklāts, ka iepriekš minētais domēns nebija pareizi konfigurēts Kļūda, kas ļāva konfigurēt tīmekļa lietojumprogrammu no Azure, norādot uz domēna CNAME ieraksts, lai kartētu domēna aizstājvārdus un apakšdomēnus ar galveno domēnu. Tas viņam ļāva pilnībā kontrolēt domēnu un, pats galvenais, piekļūt visiem nosūtītajiem datiem.

"

Toreiz atbalsojas otrs drošības pārkāpumsTā kā Microsoft lietojumprogrammas sūta autentificētas pieteikšanās pilnvaras uz apakšdomēnu http://success.office.com, brīdī, kad lietotājs bija pieteicies kādā lietojumprogrammā, viņa dati tika nosūtīts uz Sahad serveri. Un tas viss, lietotājiem par to nezinot."

Tagad mēs zinām par šo divu ievainojamību esamību, kuras Microsoft jau ir novērsusi Satraucošais ir laiks, kurā ja tie ir palikuši aktīvi, dati varētu būt apdraudēti. Kļūdas tika paziņotas jūnijā un tika novērstas novembrī, tāpēc tās ir bijušas aktīvas gandrīz 6 mēnešus.

Avots | Drošības detektīvs