"Koko Microsoft-tuoteperhe kaapattavissa ja 400 miljoonaa käyttäjää vaarassa
Sahad Nk löysi kasan vakavia haavoittuvuuksia Microsoftin ohjelmistoista. Niitä hyödyntämällä voi kaapata kokonaan haltuunsa niin uhrin Office-sovellukset kuin sähköpostinkin.
Nk havaitsi, että hän sai kaapattua Microsoftin alidomain success.office.comin haltuunsa, koska sitä ei oltu konfiguroitu oikein.
Nk kehitti Azure-verkkosovelluksen, joka ohjasi liikenteensä alidomainin cnameen, nimipalvelun tietueeseen. Cname pitää yllä karttaa domainin aliaksista sekä alidomaineista. Sovelluksensa avulla Nk iski cname-tiedostoon ja sai sitä kautta koko Microsoftin alidomainin haltuunsa.
Tämä tarkoitti myös kaikkea sen läpi kulkevaa liikennettä.
Nk ei tyytynyt tähän, vaan selvitti miten alidomainia voitaisiin käyttää muiden haavoittuvuuksien löytämiseen.
Kauaa ei tarvinnut etsiä.
Kun Microsoft-tilin käyttäjä kirjautuu Officeen, Outlookiin, Storeen tai Sway-sovellukseen, ne lähettävät varmennetietoja juurikin success.office.com -alidomainiin. Kun Microsoft-käyttäjä kirjautuu Microsoft Liveen login.live.com-sivuston kautta, myös sen varmennetiedot vuotavat kyseiselle alidomainille.
Koska alidomain oli Nk:n hallussa, hänellä oli harvinaisen hyvä sauma melkoiselle konnuudelle, hänen olisi vain tarvinnut lähettää kirjautuvalle käyttäjälle sähköpostia suoraan Microsoftin omalta palvelimelta, ja pyytää tätä klikkaamaan mukana olevaa linkkiä.
Vipuun lankeava käyttäjä päästäisi Nk:n käsiksi uhrin koko Microsoft-tiliin, sähköposteineen, Office-tiedostoineen päivineen.
Koska täysin autenttisen näköinen viesti olisi helppo laatia, ja koska se tulisi suoraan Microsoftilta, ei edes vainoharhaisella vastaanottajalla olisi syytä epäillä mitään. Samoista syistä kikkailu menisi myös täysin läpi kaikista phishing-suodattimista.
Kärsivällinen hyökkääjä olisi voinut lymytä alidomainilla aikansa, ja hiljalleen uhrien määrä olisi kasvanut satoihin miljooniin.
Nk:n työnantaja SafetyDetective kertoo, että Nk ilmoitti löydöksestään Microsoftille kesäkuussa 2018, ja yhtiö tilkitsi vakavat haavoittuvuudet marraskuussa."
Yli puolivuotta oli reikäinen ja piti korjausta odotella, kovin on tahmaista meininkiä.
Koko Microsoft-tuoteperhe kaapattavissa
14
151
Vastaukset
- Reikäjuustoooo
Windows on täynnä reikijä ja muutkin microsoftin tuoteet!
- Linuks_suuri_valhe
https://postimg.cc/LgM6JcTk
Katsohan uudelleen tuota kuvakaappausta artikelista ja näe sanat 'olisi' ja totea; Pieleen meni arvauksesi. Pelkkiä olettamuksia kaikki, koska mitään ei ehtinyt tapahtua! - Kolli-bannaan
Linuks_suuri_valhe kirjoitti:
https://postimg.cc/LgM6JcTk
Katsohan uudelleen tuota kuvakaappausta artikelista ja näe sanat 'olisi' ja totea; Pieleen meni arvauksesi. Pelkkiä olettamuksia kaikki, koska mitään ei ehtinyt tapahtua!suksi sörsse mäkeen valheines!
- Anonyymi
Kolli-bannaan kirjoitti:
suksi sörsse mäkeen valheines!
wherrasmiehet se edellen kirjoitelee jatkuvasti vihaa solvauksia ja valheita mm, Linuxista, Ubuntusta ja Firefoxista!
- Anonyymi
Anonyymi kirjoitti:
wherrasmiehet se edellen kirjoitelee jatkuvasti vihaa solvauksia ja valheita mm, Linuxista, Ubuntusta ja Firefoxista!
Pataatti oli sama hemmo.
- Anonyymi
Poistin windowsin.
- Anonyymi
Reikäjuustoo on MS tuotteet!
- WindowsOnTuskaa
Varsin kamala on Microsoftin reikäisyys!
- MS-sontapoiskoneesta
Paha vuoto ja edelleen auki
- Anonyymi
Edelleen kirjoitelee jatkuvasti vihaa solvauksia ja valheita mm, Linuxista, Ubuntusta ja Firefoxista!
- Anonyymi
Mene sinä valehtelija nyt muolle!
- Anonyymi
Avaus on asiaa!
- Anonyymi
Nyt lähti windows koneelta!
- Anonyymi
Savossa päinkö niitä kaapataan?
Ketjusta on poistettu 5 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
S-kaupoissa on nykyään ihanaa käydä
Kun niissä ei enää käy satuolentoihin uskovat hihhuIit eivätkä persut. Asiakaskunta on huomattavasti siistiytynyt muutam23814036Riikka runnoo! Uutta velkaa tänä vuonna 17 mrd. euroa
Tirsk. Nyt kyllä hihityttää kuin pientä eläintä. Riikka takoo maailmanennätyksiä tasaiseen tahtiin. " [Riikka] joutuu587173Jens Ihlen (ex Kukka) poika todistaa oikeudessa
10:49 "Välit ovat olemattomat" Minkälainen isäsi ja sinun välinen suhde on tällä hetkellä? "Minulla ei ole minkäännäkö1986818K-kaupassa on mukava käydä, kun ei tarvitse katsella köyhiä
vasemmistolaisia, joista monet myös varastavat. Mielellään maksaa vähän enemmän tuotteista K-kaupassa, jotka ovat paljon1004726Näin tyhmä vasemmistolainen on: "S-kaupoissa on nykyään ihanaa käydä
kun siellä ei ole hihhuleita eikä persuja." Vain tyhmä eli heikkoälyinen vasemmistolainen voi tehdä noin lapsellisia ju734644Kela maksoi etuuksia 17,3 mrd. eur, yritykset sai 10,6 mrd.
Tuohon päälle vietiin vielä palkansaajilta työeläkeloisille 27,5 miljardia euroa. Etenkin Suomen Sosialistiset Yrittäjä244515Suomeen ei kuulu ihmiset jotka ei halua kätellä toisia ihmisiä, koska tämä on vääräuskoinen
Nainen joka ei halunnut kätellä Stubbia on selvästi ääripään muslimi, eli sitä sakkia josta niitä ongelmia koituu. Ulos744327Suomessa on ollut suurtyöttömyyttä ennenkin, ja lääkäriin pääsee nykyäänkin
Täällähän oli jonkun sekopään(vas.) juttu, että ennen ei ollut työttömyyttä ja lääkäriin pääsi. Siihen alkoi tietysti ko754112Kysymys: Kuinka moneen maahan neuvosto-venäjä on hyökännyt
viimeisten 90-vuoden aikana? Ja lähinnä on siis kyse neuvosto-venäjän naapurimaista - kuten Suomesta. Lista on huomatta1003886- 933691