Почти шест месеца отне на Microsoft да коригира две уязвимости, които изложиха нашите данни на риск
Когато говорим за сигурност на нашите компютри, винаги мислим за рутера като първата точка, която трябва да наблюдаваме. Тревожим се за контролирането на сигурността в нашата среда, но какво се случва, когато тя не зависи от нас? Ако провалът е причинен от компаниите, които ни предоставят малко услуги, ние мога да направя.
Отново се позоваваме на сигурността на нашето оборудване и отново поради повреда, възникнала в големи компании. Ако наскоро Google обяви грешка, изложила сигурността на милиони потребители на риск, сега Microsoft съобщи, че данните на потребителите на Outlook, Microsoft Store… са били разкрити на възможни атаки
Грешка в домейна success.office.com може да е изложила на риск потребителите на Microsoft. Това е открил изследователят Сахад Нк от Safety Detective, който извади наяве две уязвимости, които са причинили заплаха за всичко от нашите Office документи до имейлите на Outlook.
Очевидно е установено, че горепосоченият домейн не е конфигуриран правилно Грешка, която позволява на уеб приложение да бъде конфигурирано от Azure, сочещо към CNAME записа на домейна, за да картографирате псевдонимите на домейни и поддомейните към основния домейн. Това му позволи да поеме пълен контрол над домейна и преди всичко, което е най-важното, да има достъп до всички изпратени данни.
"По това време отекна втори пробив в сигурносттаТъй като приложенията на Microsoft изпращат удостоверени токени за влизане към поддомейна http://success.office.com, по времето, когато потребителят е влязъл в някое приложение, неговите данни беше изпратено до сървъра на Сахад. И всичко това без потребителите да знаят за това."
Вече знаем за съществуването на тези две уязвимости, които вече са коригирани от Microsoft Тревожното е времето, в което че те са останали активни, данните може да са изложени на риск. Грешките бяха съобщени през юни и бяха решени през ноември, така че са активни почти 6 месеца.
Източник | Детектив по безопасността
