ΑρχικήsecurityΠροσοχή! μην κατεβάζετε τίποτα από το «mybrowser.microsoft.com»

Προσοχή! μην κατεβάζετε τίποτα από το «mybrowser.microsoft.com»

Όπως ανακαλύφθηκε από δύο ερευνητές της Vullnerability, η Microsoft δεν είναι ιδιαίτερα προσεκτική με την ασφάλεια των προϊόντων και των υπηρεσιών που παρέχει online στους χρήστες της.

Σύμφωνα με το The Register, οι ερευνητές Numan Ozdemir και Ozan Agdepe ανακάλυψαν πάνω από 670 subdomain που ανήκουν στη Microsoft και είναι εκτεθειμένα σε κινδύνους.

Το πρόβλημα είναι, ότι πολλά από αυτά τα subdomain θα μπορούσαν να εκμεταλλευτούν από κακόβουλους παράγοντες, που θα τα χρησιμοποιήσουν για να παριστάνουν την Microsoft ώστε να ξεγελάσουν τους χρήστες. Για παράδειγμα, ένα από τα subdomain αναγνωρίζεται ως mybrowser.microsoft.com, το οποίο στο παρελθόν φιλοξενούσε λεπτομέρειες σχετικά με το πρόγραμμα περιήγησης Edge.

Τα δεδομένα αυτού του subdomain αποθηκεύονται σε έναν Azure server. Έτσι, όταν ένας χρήστης θα προσπαθήσει να επισκεφτεί το mybrowser.microsoft.com, το πρόγραμμα περιήγησης τον ανακατευθύνει σε μια διεύθυνση URL όπως η ‘webserver9000.azurewebsites.net’.

Είναι γνωστό, ότι η Microsoft δεν είναι αρκετά προσεκτική όσον αφορά την εκκαθάριση των εγγραφών DNS για εγκαταλελειμμένα subdomain.

Μπορεί να μην είναι μία εξαιρετικά μεγάλη απειλή, ωστόσο ένας hacker θα μπορούσε να εκμεταλλευτεί αυτά τα subdomain και να ξεγελάσει ένα χρήστη.

Ένας χρήστης θα μπορούσε να επισκεφτεί το mybrowser.microsoft.com χωρίς να γνωρίζει αν ο ιστότοπος είναι κακόβουλος ή αν χρησιμοποιείται επίσημα από την εταιρεία. Ο επιτιθέμενος μπορεί να εκμεταλλευτεί αυτή την άγνοια για να δημιουργήσει έναν ψεύτικο ιστότοπο και να ζητήσει από τους χρήστες να εισάγουν τα διαπιστευτήριά τους και άλλες πληροφορίες.

Οι ερευνητές ειδοποίησαν άμεσα την Microsoft για το κενό ασφαλείας και η εταιρεία κατέβασε τα subdomain που της υπέδειξαν. Επιπλέον, οι ερευνητές έκαναν μία λίστα με όλα τα subdomain που μπόρεσαν να εκμεταλλευτούν, ώστε να δείξουν ότι το εύρημά τους ήταν σωστό.

Αυτή δεν είναι η πρώτη περίπτωση εκμετάλλευσης subdomain. Ωστόσο όπως αναφέρουν οι ερευνητές, η Microsoft δεν επιβραβεύει την ανακάλυψη ευπαθειών στα subdomain της, κάτι που αποθαρρύνει πολλούς ερευνητές να ασχοληθούν με αυτά.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS