Microsoft виявила уразливість у своїй системі входу, яку, як стверджують дослідники з безпеки, могли використати зловмисники для того, щоб виманити підозрюваних жертв у наданні повного доступу до їхніх онлайн-екаунтів.
Помилка дозволила зловмисникам потайки красти жетони облікових записів, які веб-сайти та додатки використовують, щоб надати користувачам доступ до своїх облікових записів, не вимагаючи від них постійно вводити паролі. Ці жетони створюються додатком або веб-сайтом замість імені користувача та пароля після входу користувача, пише TechCrunch.
Це забезпечує постійний вхід користувача на сайт, але також дозволяє користувачам отримувати доступ до сторонніх додатків та веб-сайтів без необхідності безпосередньо вручну над їх паролями.
Дослідники ізраїльської компанії з кібербезпеки CyberArk виявили, що Microsoft залишила відкритою випадкову лазівку, яка, якщо вона буде використана, може бути спрямована на відшивання цих жетонів облікового запису, які використовуються для доступу до екаунта жертви – потенційно, не повідомляючи про це користувача.
Останні дослідження CyberArk виявили десятки незареєстрованих субдоменів, підключених до декількох додатків, створених Microsoft. Цим власним додаткам дуже довіряють і, як такі, пов’язані субдомени можуть використовуватися для автоматичного генерування жетонів доступу, не вимагаючи від користувача явного згоди.
З піддоменами в руці, все, що зловмиснику знадобиться, – це обманювати жертву та змушувати натискати на спеціально створене посилання в електронній пошті чи на веб-сайті, і маркер може бути викрадений.
У деяких випадках, зазначають дослідники, це можна зробити “нульовим клацанням”, що, як випливає з назви, майже не потребує взаємодії з користувачем. Зловмисний веб-сайт, який приховує вбудовану веб-сторінку, може мовчки викликати той же запит, що й посилання в шкідливому електронному листі, щоб викрасти маркер облікового запису користувача.
На щастя, дослідники зареєстрували стільки субдоменів, які вони могли знайти вразливими додатками Microsoft, щоб запобігти будь-якому зловмисному використанню, але попередили, що їх може бути більше.
Про недолік безпеки було повідомлено Microsoft наприкінці жовтня та виправлено через три тижні.
“Ми вирішили проблему з додатками, згаданими в цьому звіті в листопаді, і клієнти залишаються захищеними”, – заявила речник Microsoft.
Microsoft не вперше виправляє помилку у своїй системі входу. Майже рівно рік тому гігант програмного забезпечення та сервісів усунув аналогічну вразливість, при якій дослідникам було дозволено змінювати записи неправильно налаштованого субдомену Microsoft та викрадати жетони облікових записів Office.
До речі, у рамках своїх активних зусиль щодо захисту мільярдів користувачів Інтернету компанія Google виявила та попередила понад 12 тисяч своїх користувачів, які зазнали кібератак від “державних хакерів” у третьому кварталі цього року.
Якщо Вас турбує “одвічне” питання геймерів та ентузіастів: побудувати комп’ютер із власноруч вибраних комплектуючих або купити готовий укомплектований системний блок? CyberCalm розібрав це питання.
Стало відомо, що Фінляндія першою в Європі почала привласнювати так звані ярлики кібербезпеки мережевим “розумним” пристроям.
Також 14 січня 2020 року Microsoft завершить підтримку операційної системи Windows 7 і пакету офісних програм Office 2010. Тому якщо Windows 10 виявилася занадто важкою системою для Вашого комп’ютера, як варіант – можете перейти на ОС Linux. У чому її переваги, читайте у статті.
Зверніть увагу, в наступному році iPhone чекають ще більш значущі зміни, ніж ті, що відбувалися з ними раніше. Apple планує зменшити діагональ дисплея одного з iPhone 2020 модельного року.
Здається, вже всі знають, що таке QR-код, але мало хто знає, як він з’явився, де застосовується і які особливості має. Усі подробиці про QR-код читайте у статті.