ما يقرب من ستة أشهر استغرقت Microsoft لتصحيح اثنتين من نقاط الضعف التي عرّضت بياناتنا للخطر
عندما نتحدث عن الأمان على أجهزة الكمبيوتر لدينا ، نفكر دائمًا في جهاز التوجيه باعتباره النقطة الأولى التي يجب مراقبتها. نحن قلقون بشأن ضبط الأمن في بيئتنا ولكنماذا يحدث عندما لا يعتمد علينا؟إذا كان الفشل ناتجًا عن الشركات التي تقدم لنا خدمات قليلة ، فإننا يمكن القيام به.
نشير مرة أخرى إلى أمن معداتنا ومرة أخرى بسبب عطل نشأ في الشركات الكبيرة. إذا كانت Google هي التي أعلنت مؤخرًا عن خطأ عرض أمن ملايين المستخدمين للخطر ، فإن Microsoft هي التي أبلغت الآن أنه تم الكشف عن بيانات مستخدمي Outlook و Microsoft Store ...للهجمات المحتملة
قد يكون هناك خطأ في مجال Success.office.comيعرض مستخدمي Microsoft للخطر. هذا ما اكتشفه الباحث Sahad Nk for Safety Detective ، الذي كشف عن ثغرتين تسببتا في تهديد كل شيء من مستندات Office إلى رسائل البريد الإلكتروني في Outlook.
على ما يبدو ، اكتشف أن المجال المذكورلم يتم تكوينه بشكل صحيحخطأ سمح بتكوين تطبيق ويب من Azure الذي يشير إلى سجل CNAME للمجال ، لتعيين أسماء النطاقات المستعارة والمجالات الفرعية إلى المجال الرئيسي. سمح له ذلك بالسيطرة الكاملة على المجال ، والأهم من ذلك كله ، والأهم من ذلك كله ، الوصول إلى جميع البيانات التي تم إرسالها.
"في ذلك الوقتتم تكرار الخرق الأمني الثاني نظرًا لأن تطبيقات Microsoft ترسل رموز تسجيل دخول مصدق عليها إلى المجال الفرعيhttp: //success.office.com ، في الوقت الذي تم فيه تسجيل دخول المستخدم في بعض التطبيقات ، بياناته تم إرسالها إلى خادم Sahad. وكل هذا دون أن يدرك المستخدمون ذلك. "
نحن نعلم الآن بوجود هاتين الثغرتين ، اللتينتم إصلاحهما بالفعل بواسطة Microsoftالشيء المقلق هو الوقت الذي أن هذه ظلت نشطة ، فقد تكون البيانات معرضة للخطر. تم الإبلاغ عن الأخطاء في يونيو وتم حلها في نوفمبر ، لذا فهي نشطة منذ ما يقرب من 6 أشهر.
المصدر | مخبر السلامة
