Архив

Ошибка в «Паспорте»

В прошлую среду пакистанский студент Мухаммед Файзал Рауф Данка (Muhammad Faisal Rauf Danka) опубликовал в списке рассылки «Full Disclosure» описание ошибки в системе восстановления утерянных паролей сервиса Microsoft Passport, позволявшей, обладая лишь адресом электронной почты пользователя, получать полный доступ к хранимым в его эккаунте данным. Напомним, что в эккаунте системы Passport могут храниться не только личная информация, но и, например, номера кредитных карт. Кроме того, сам эккаунт может выступать «ключом» в совершении онлайновых покупок.

По словам Мухаммеда, он пытался сообщить об ошибке представителям Microsoft, используя, помимо прочих, электронный адрес security@microsoft.com, но ответа так и не получил. Адам Сон (Adam Sohn), представитель отвечающего за сервис Passport подразделения Microsoft, позже объяснил, что вышеуказанный адрес является общим ящиком для всех подразделений компании, занимающихся вопросами корпоративной безопасности, и прошло довольно много времени пока письмо попало к нужному адресату.

Microsoft поэтому действительно зашевелилась только после появления утром в среду на News.com новости, посвященной публикации в списке рассылки информации о большой проблеме безопасности в сервисе Passport. К вечеру среды Microsoft полностью отключила систему, в которой была обнаружена ошибка, и опубликовала на своем сайте посвященную ошибке заметку. А уже в четверг, как только ошибка была устранена, система восстановления паролей снова заработала в штатном режиме.

«Прелесть» ошибки в том, что это не уязвимость и не «дыра» в прямом смысле, а именно логическая ошибка программистов, создававших систему восстановления паролей для Passport. Чтобы воспользоваться ею, достаточно было знать e-mail пользователя, чей эккаунт вас заинтересовал, набрать правильно сконструированный URL в адресной строке браузера и нажать «ввод». Вуаля.

Согласно оценкам самой Microsoft, ошибка присутствовала в сервисе с сентября прошлого года, однако количество пострадавших от нее пока характеризуется как «весьма умеренное».

Надо, однако, отметить, что особенного выбора в описании ошибки у самой компании нет: по заключенному с Федеральной комиссией по торговле США соглашению, Microsoft может быть оштрафована за несоблюдение мер безопасности в своих продуктах и сервисах. Если расследование, о котором, правда, пока лишь только говорят, установит, что от ошибки могли пострадать все эккаунты пользователей Passport, то сумма штрафа потенциально способна достичь поднебесного размера в $2,2 триллиона.

Данил Гридасов

Ошибка в «Паспорте»

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике