Microsoft ha impiegato quasi sei mesi per correggere due vulnerabilità che hanno messo a rischio i nostri dati
Quando parliamo di sicurezza sui nostri computer, pensiamo sempre al router come al primo punto da monitorare. Ci preoccupiamo di controllare la sicurezza nel nostro ambiente ma cosa succede quando non dipende da noi? Se il fallimento è dato dalle aziende che ci forniscono pochi servizi noi può fare.
Ci riferiamo ancora una volta alla sicurezza delle nostre apparecchiature e ancora a causa di un guasto originato in grandi aziende. Se recentemente è stata Google ad annunciare un errore che aveva messo a rischio la sicurezza di milioni di utenti, ora è Microsoft a comunicare che sono stati esposti i dati degli utenti di Outlook, Microsoft Store… a possibili attacchi
Un errore nel dominio success.office.com potrebbe aver messo a rischio gli utenti Microsoft. È quanto ha scoperto il ricercatore Sahad Nk di Safety Detective, che ha portato alla luce due vulnerabilità che hanno minacciato tutto, dai nostri documenti Office alle email di Outlook.
A quanto pare, ha scoperto che il suddetto dominio non era configurato correttamente Un bug che permetteva di configurare un'applicazione web da Azure puntando a il record CNAME del dominio, per mappare alias di dominio e sottodomini al dominio principale. Questo gli ha permesso di assumere il pieno controllo del dominio e, soprattutto, e cosa più importante, di avere accesso a tutti i dati che gli venivano inviati.
"In quel momento è stata segnalata una seconda violazione della sicurezzaPoiché le applicazioni Microsoft inviano token di accesso autenticati al sottodominio http://success.office.com, nel momento in cui un utente ha effettuato l&39;accesso in qualche applicazione, i suoi dati è stato inviato al server di Sahad. E tutto questo senza che gli utenti se ne accorgano."
Sappiamo ormai dell'esistenza di queste due vulnerabilità, che sono già state risolte da Microsoft La cosa preoccupante è il momento in cui che questi sono rimasti attivi, i dati potrebbero essere stati a rischio. Gli errori sono stati comunicati a giugno e sono stati risolti a novembre, quindi sono attivi da quasi 6 mesi.
Fonte | Detective di sicurezza