„Microsoft“ komandų pažeidžiamumas, turintis įtakos visiems paslaugos vartotojams, naudodamiesi „Windows“, „Mac“ ar „Linux“ programa.
„Microsoft“ komandos yra integruota pakuotės platforma „Microsoft 365“. Paslaugą visame pasaulyje naudojama beveik 300 milijonų vartotojų vaizdo konferencijoms, balso skambučiams, tekstiniams pranešimams ir failų mainams. Ypač naudojama verslui ir biure daroma prielaida, kad „Microsoft“ komandos „Windows“, „Linux“ ir „Mac“ turėtų turėti atitinkamą saugos standartą. Tačiau atrodo, kad „Microsoft“ šifravimui yra šiek tiek svarbu.
Rugpjūčio (2022 m.) Saugumo analitikų komanda atrado a „Microsoft“ komandų pažeidžiamumas Iš kurių, atrodo, „Microsoft“ nebuvo sudėtinga iki šiol tai išspręsti.
„Microsoft“ komandų pažeidžiamumas – Nenuspaustas autentifikavimo prieigos raktas
Aptikta saugumo problema yra neribotas autentifikavimo žetonų saugojimas „Microsoft“ komandų programoje „Windows“, „Mac“ ir „Linux“. Tiksliau user authentication tokens yra laikomi cleartext.
Tai reiškia, kad jei užpuolikas turi prieigą prie įdiegto kompiuterio „Microsoft“ komandos, ji galės paimti autentifikavimo įgaliojimus iš programos ir galės prisijungti prie aukos sąskaitos. Be to, užpuolikas užtikrina savo prieigą prie Microsoft Graph API Net jei sąskaita yra apsaugota MFA (Multi-factor authentication). Nereikia patobulinti kenkėjiškų programų ar specialių leidimų, kad būtų galima prieigai prie failų, kuriuose yra autentifikavimo žetonų.
Šis pažeidžiamumas (jei aš galiu tai pavadinti) gali paveikti daugelį kompanijų visame pasaulyje. „Microsoft“ komandose, verslo pokalbiuose, organizacijose sesijose, yra dėvimos komandinės darbo sesijos, rengiami interviu į darbą ir siunčiami konfidencialūs duomenys.
Labiausiai įžeidžianti dalis yra ta, kad šią problemą pranešė Connor tautos (Kibernetinio patikrinimo analitikas) Nuo 2022 m. Rugpjūčio mėn. Ir iki šiol (2022 m. Rugsėjo mėn.) „Microsoft“ nesiėmė jokių priemonių.
Kol „Microsoft“ neišspręs šios „Microsoft“ komandų pažeidžiamumo, vartotojai gali apsisaugoti naudodamiesi žiniatinklio versija.
2022 m. Išskyrus neskelbtinus duomenis „ClearText“, dar labiau autentifikuojant žetonus, man atrodo, kad „Microsoft“ naudoja 1990 m. Yahoo! Messenger Makaronų pokalbiai vietiniai teksto formatu. „Microsoft“ yra su kažkuo papildomu. Saugo autentifikavimo duomenis.
