Microsoftu trvalo téměř šest měsíců, než napravil dvě zranitelnosti, které ohrožovaly naše data

Když mluvíme o zabezpečení našich počítačů, vždy myslíme na router jako na první bod, který bychom měli sledovat. Obáváme se kontroly zabezpečení v našem prostředí, ale co se stane, když nezávisí na nás? Pokud je selhání způsobeno společnostmi, které nám poskytují jen málo služeb, může udělat.

Znovu odkazujeme na bezpečnost našeho zařízení a opět kvůli poruše vzniklé ve velkých společnostech. Jestliže to byl nedávno Google, kdo oznámil chybu, která ohrozila bezpečnost milionů uživatelů, nyní je to Microsoft, kdo oznámil, že data uživatelů aplikace Outlook, Microsoft Store… byla odhalena k možným útokům

Chyba v doméně success.office.com mohla uživatele Microsoftu ohrozit. To je to, co objevil výzkumník Sahad Nk pro Safety Detective, který odhalil dvě zranitelnosti, které způsobily ohrožení všeho od našich dokumentů Office až po e-maily aplikace Outlook.

Zjevně zjistil, že výše uvedená doména nebyla správně nakonfigurována Chyba, která umožňovala konfiguraci webové aplikace z Azure směřující na záznam CNAME domény, k mapování doménových aliasů a subdomén na hlavní doménu. To mu umožnilo převzít plnou kontrolu nad doménou a především, a co je nejdůležitější, mít přístup ke všem odeslaným datům.

"

V té době zaznělo druhé narušení bezpečnostiVzhledem k tomu, že aplikace Microsoft odesílají ověřené přihlašovací tokeny do subdomény http://success.office.com, v době, kdy byl uživatel přihlášen do nějaké aplikace, jeho data byla odeslána na Sahadův server. A to vše, aniž by si to uživatelé uvědomovali."

Nyní víme o existenci těchto dvou zranitelností, které již byly opraveny společností Microsoft Znepokojující je doba, kdy že tyto zůstaly aktivní, data mohla být ohrožena. Chyby byly oznámeny v červnu a byly vyřešeny v listopadu, takže jsou aktivní téměř 6 měsíců.

Zdroj | Bezpečnostní detektiv