כמעט שישה חודשים לקח למיקרוסופט לתקן שתי נקודות תורפה שסיכנו את הנתונים שלנו

כשאנחנו מדברים על אבטחה במחשבים שלנו, אנחנו תמיד חושבים על הנתב כעל הנקודה הראשונה שעליה לנטר. אנחנו דואגים לשלוט באבטחה בסביבה שלנו אבל מה קורה כשהיא לא תלויה בנו? אם התקלה ניתנת על ידי החברות המספקות לנו שירותים מועטים. יכול לעשות.

אנו מתייחסים שוב לאבטחת הציוד שלנו ושוב עקב תקלה שמקורה בחברות גדולות. אם לאחרונה הייתה זו גוגל שהודיעה על שגיאה שהעמידה את האבטחה של מיליוני משתמשים בסיכון, כעת מיקרוסופט היא זו שמסרה כי הנתונים של משתמשי Outlook, Microsoft Store... נחשפו להתקפות אפשריות

שגיאה בדומיין success.office.com עלולה לסכן את משתמשי Microsoft. זה מה שגילה החוקר Sahad Nk for Safety Detective, שהביא לידי ביטוי שתי נקודות תורפה שגרמו לאיום על כל דבר, החל ממסמכי Office שלנו ועד למיילים של Outlook.

ככל הנראה, הוא גילה ש-הדומיין שהוזכר לעיל לא הוגדר כהלכה באג שאפשר להגדיר יישום אינטרנט מ-Azure המצביע על רשומת ה-CNAME של הדומיין, כדי למפות כינויי דומיין ותת-דומיינים לדומיין הראשי. זה איפשר לו לקחת שליטה מלאה על הדומיין ובעיקר, ומה שהכי חשוב, לקבל גישה לכל הנתונים שנשלחו.

"

באותה תקופה הדהד פרצת אבטחה שנייהמכיוון שיישומי מיקרוסופט שולחים אסימוני התחברות מאומתים לתת-דומיין http://success.office.com, בזמן שמשתמש היה מחובר לאפליקציה כלשהי, הנתונים שלו נשלח לשרת של סאהד. וכל זה מבלי שהמשתמשים מודעים לכך."

אנו יודעים כעת על קיומן של שתי נקודות התורפה הללו, שכבר תוקנו על ידי Microsoft הדבר המדאיג הוא הזמן שבו כי אלה נשארו פעילים, ייתכן שהנתונים היו בסיכון. השגיאות דווחו ביוני ונפתרו בנובמבר, כך שהן פעילות כבר כמעט 6 חודשים.

מקור | בלש בטיחות