זה באג בן 19 דולף סיסמת Windows שלך

האקרים יכולים להיכנס מרחוק למחשב Windows, לגשת לחשבון Outlook שלך ולהציג את הודעות הסקייפ שלך על ידי ניצול באג שנמצא בסביבה מאז 1997, שמיקרוסופט לא טרחה לתקן מאז.

הבאג דולף שמות חשבון Microsoft ו סיסמאות hashed. זה יותר טוב מאשר לחשוף את הסיסמאות בטקסט רגיל - סיסמאות hashed דורשים לפחות קצת מאמץ כדי לפענח - אבל סיסמאות חלש יכול להיות סדוק בתוך שניות ספורות. ברגע שזה קורה, התוקף יכול לגשת לכל שירות של Microsoft, ויכול אפילו להיכנס מרחוק למחשב Windows המחובר לחשבון.

"כדי לנצל את זה, התוקף היה פשוט להגדיר נתח רשת. קישור תמונה מוטבע המצביע על שיתוף הרשת נשלח לאחר מכן לקורבן, לדוגמה כחלק מדוא"ל או אתר אינטרנט " הקדאי מסביר. "ברגע שתוכן prepped מוצג בתוך מוצר של מיקרוסופט, כגון Edge / Spartan, Internet Explorer או Outlook, התוכנה תנסה להתחבר למניה זו כדי להוריד את התמונה."

אלה חדשות רעות עבור כל מי שחיבר את החשבון שלו ל- Skype, Office, Xbox Live, OneDrive ושירותי Microsoft אחרים שיכולים לאחסן נתונים אישיים. אבל יש כמה חדשות טובות: הבאג משפיע רק על אנשים המשתמשים ב- Internet Explorer, דפדפן Edge החדש או ב- Outlook כדי לבקר באתר אינטרנט שנמצא בסיכון. כל מי שמשתמש בדפדפן אינטרנט חלופי או בשירות הדוא"ל כבר בטוח.

פרטיות מושלמת הקימה אתר אינטרנט שיכול לסייע למשתמשי Windows לקבוע אם אישורי החשבון שלהם ב- Microsoft דולפים לעולם. (הוא גם מזהיר כי כל מי שמריץ את המבחן צריך לשנות את הסיסמאות שלהם באופן מיידי אם כל האישורים שלהם משותפים, כל מה שנדרש הוא שמישהו יפרוץ לאתר זה כדי לקבל הרבה כניסות יקרות.)

מוקדם יותר החודש הזהירה הוועדה הלאומית להגנה על נתונים בצרפת כי Windows 10 פוגעת בפרטיות המשתמש, מה שאומר שהבאג הזה הוא רק סיבה נוספת שלא להשתמש ב- Windows 10 מבלי להיות מודעים לסיכונים הכרוכים בכך.

מיקרוסופט לא רק לתת זה באג להשפיע על הלקוחות שלה במשך כמעט שני עשורים - זה גם שינה את Windows בדרכים שהופכות את הפגיעות יותר הרסנית. "בשנת 1997, התוקף היה מקבל רק את נתוני הכניסה המקומי של Windows," הקדאי כותב. "אבל ב- Windows 10, שיטת ההתחברות המוגדרת כברירת מחדל היא חשבון המשתמש של מיקרוסופט", מה שאומר שהיא מציעה כעת גישה מלאה למערכת של מישהו.