Majdnem hat hónapba telt a Microsoftnak, hogy kijavítson két biztonsági rést, amelyek veszélyeztették adatainkat

Amikor a számítógépeink biztonságáról beszélünk, mindig az útválasztóra gondolunk, mint az első pontra, amelyet figyelnünk kell. Aggódunk a környezetünk biztonságának ellenőrzése miatt, de mi történik, ha nem rajtunk múlik? Ha a kudarcot azok a cégek okozzák, amelyek kevés szolgáltatást nyújtanak nekünk, képes csinálni.

Ismét berendezéseink biztonságára hivatkozunk, és ismét egy nagyvállalati hiba miatt. Ha a közelmúltban a Google jelentett be egy hibát, amely több millió felhasználó biztonságát veszélyeztette, most a Microsoft közölte, hogy az Outlook, a Microsoft Store… felhasználóinak adatai nyilvánosságra kerültek. az esetleges támadásokhoz

A siker.office.com tartomány hibája veszélybe sodorhatta a Microsoft-felhasználókat. Ezt fedezte fel Sahad Nk, a Safety Detective kutatója, aki két olyan sérülékenységre derített fényt, amelyek miatt az Office-dokumentumoktól kezdve az Outlook-e-mailekig mindent megfenyegettek.

Úgy tűnik, felfedezte, hogy a fent említett tartomány nincs megfelelően konfigurálva Egy hiba, amely lehetővé tette egy webalkalmazás konfigurálását az Azure-ból, amely a következőre mutat: a tartomány CNAME rekordja, hogy a tartományi álneveket és aldomaineket leképezze a fő tartományra. Ez lehetővé tette számára, hogy teljes mértékben átvegye az irányítást a domain felett, és mindenekelőtt – ami a legfontosabb – hozzáférjen az összes elküldött adathoz.

"

Akkor egy második biztonsági megsértés hangzott elMivel a Microsoft alkalmazások hitelesített bejelentkezési tokeneket küldenek a http://success.office.com aldomainre, amikor a felhasználó bejelentkezett valamelyik alkalmazásba, az adatai elküldték Sahad szerverére. És mindezt anélkül, hogy a felhasználók tudnának róla."

Most már tudunk ennek a két sebezhetőségnek a létezéséről, amelyeket már kijavított a Microsoft Aggasztó az az idő, amikor hogy ezek aktívak maradtak, az adatok veszélybe kerülhettek. A hibákat júniusban közölték és novemberben megoldották, tehát közel 6 hónapja aktívak.

Forrás | Biztonsági nyomozó