Aproape șase luni i-a luat Microsoft să corecteze două vulnerabilități care ne-au pus datele în pericol

Când vorbim despre securitatea computerelor noastre, ne gândim întotdeauna la router ca fiind primul punct pe care ar trebui să-l monitorizăm. Ne facem griji cu privire la controlul securității în mediul nostru dar ce se întâmplă când nu depinde de noi? Dacă eșecul este dat de companiile care ne oferă servicii mici, pot face.

Ne referim din nou la securitatea echipamentelor noastre și din nou din cauza unei defecțiuni provenite din marile companii. Dacă recent Google a anunțat o eroare care a pus în pericol securitatea a milioane de utilizatori, acum Microsoft a comunicat că datele utilizatorilor Outlook, Microsoft Store… au fost expuse la posibile atacuri

O eroare în domeniul succes.office.com poate să fi pus în pericol utilizatorii Microsoft. Acesta este ceea ce a descoperit cercetătorul Sahad Nk for Safety Detective, care a scos la lumină două vulnerabilități care au făcut ca totul, de la documentele noastre Office până la e-mailurile Outlook, să fie amenințate.

Aparent, a descoperit că domeniul menționat mai sus nu a fost configurat corect Un bug care a permis configurarea unei aplicații web din Azure, indicând spre înregistrarea CNAME a domeniului, pentru a mapa aliasurile de domeniu și subdomeniile la domeniul principal. Acest lucru i-a permis să preia controlul deplin asupra domeniului și, mai ales, și ceea ce este cel mai important, să aibă acces la toate datele care au fost trimise.

"

La acea vreme a fost ecou o a doua breșă de securitateDeoarece aplicațiile Microsoft trimit jetoane de conectare autentificate la subdomeniul http://success.office.com, în momentul în care un utilizator era conectat la o aplicație, datele sale a fost trimis pe serverul lui Sahad. Și toate acestea fără ca utilizatorii să fie conștienți de acest lucru."

Acum știm despre existența acestor două vulnerabilități, care au fost deja reparate de Microsoft Lucrul îngrijorător este timpul în care că acestea au rămas active, este posibil ca datele să fi fost în pericol. Erorile au fost comunicate în iunie și au fost rezolvate în noiembrie, așa că sunt active de aproape 6 luni.

Sursa | Detectiv de siguranță