Pišite nam

Microsoft Exchange ranljivost

Neodvisni raziskovalec kibernetske varnosti je poročal o napaki, katere namen je s pomočjo uporabe surove sile na sedemmestno varnostno kodo, ki je uporabniku poslana z namenom, da potrdi svojo identiteto, preden ponovno vnese geslo, da bi lahko obnovil dostop do računa. Raziskovalec je v okviru Microsoftovega programa nagrajevanja za napako prejel 50.000 ameriških dolarjev.

Prevzem je posledica stopnjevanja privilegijev (privilege escalation), ki izhaja iz obvoda za preverjanje pristnosti na končni točki, ki se uporablja za verodostojnost kod. Preden so podrobnosti o napaki prišle na dan minuli teden, je Microsoft to težavo odpravil.

 

 

Obstajajo šifrirne ovire in »rate-limiting«, ki omejujejo večkratno oddajanje 10 milijonov kombinacij, vendar je bila funkcija šifriranja sčasoma zlomljena in je bila uporabljena za prikrivanje varnostne kode in pošiljanje več zahtev. Poslanih je bilo več kot 1000 kod, 122 jih je uspešno prešlo pregrade, medtem ko so bile ostale blokirane. Po tem je Muthiyah, raziskovalec kibernetske varnosti, lahko zaobšel omejevalnik in dosegel naslednji korak spreminjanja gesla in s tem ugrabitve računa (account hijacking).

 

Ta vrsta napada deluje le, če račun ni zavarovan z 2FA, vendar ga je mogoče razširiti, da se prepreči tovrstna zaščita in spremeni ciljno geslo.

 

 

V resničnem scenariju bi napadalec potreboval 5000 naslovov IP za vdor v račun in čeprav se to sliši težko, je dejansko precej enostavno, če uporabljamo ponudnika storitev v oblaku, kot je Google, bi za izvedbo celotnega napada odšteli približno 150 USD, kar ni ogromna ovira za napadalce.

Piškotki za analitiko
Ti se uporabljajo za beleženje analitike obsikanosti spletne strani in nam zagotavljajo podatke na podlagi katerih lahko zagotovimo boljšo uporabniško izkušnjo.
Piškotki za družabna omrežja
Piškotki potrebni za vtičnike za deljenje vsebin iz strani na socialna omrežja.
Piškotki za komunikacijo na strani
Piškotki omogočajo pirkaz, kontaktiranje in komunikacijo preko komunikacijskega vtičnika na strani.
Piškotki za oglaševanje
So namenjeni targetiranemu oglaševanju glede na pretekle uporabnikove aktvinosti na drugih straneh.
Kaj so piškotki?
Z obiskom in uporabo spletnega mesta soglašate z uporabo in beleženjem piškotkov.V redu Več o piškotkih