A Microsoft felhője megint könnyűnek találtatott
Felhő a marketing anyagokban: a biztonság netovábbja.
Felhő ha még valami nagy cég áll mögötte a marketing anyagokban: fokozhatatlan biztonság.
Felhő a valóságban: "A banális sérülékenységnek köszönhetően illetéktelen beleolvashattak mások az Outlook levelezőrendszerben emailjeibe, vagy letölthették OneDrive-on tárolt fájljaikat - a Teams csevegésekhez hozzáférésről és egyebekről nem is beszélve."
"Simán ki lehetett cselezni a Microsoft többfaktoros online azonosítását"
Kétfaktoros azonosítás... pedig arról is úgy írnak sokszor mint numero uno biztonsági megoldás.
"Egy biztonsági cég a héten számolt be arról, hogy szakértőinek sikerült egy rendívül súlyos biztonsági rést azonosítaniuk a Microsoft által felhős szolgáltatásai védelmére használt többfaktoros azonosítási (MFA) eljárásban. A banális sérülékenységnek köszönhetően illetéktelen beleolvashattak mások az Outlook levelezőrendszerben emailjeibe, vagy letölthették OneDrive-on tárolt fájljaikat - a Teams csevegésekhez hozzáférésről és egyebekről nem is beszélve."
"Minderre az adott lehetőséget, hogy a Microsoft nem korlátozta megfelelően, hogy milyen ütemben és kik tudnak megpróbálni bejelentkezni rendszerébe, amit egy 6-jegyű kód kiküldésével védett. A problémát az képezte, hogy ha a támadók gyors egymásutánban, illetve párhuzamosan rengeteg bejelentkezési próbálkozást is kezdeményeztek, majd azokban módszeresen elkezdték végigpróbálni ezeket a kódokat, akkor záros időn belül eltalálhatták a 6-jegyű kódot - ezáltal lényegében kiiktatva a többfaktoros azonosítást."
Gondolom ezek a hatjegyű kódok csak számokat és sima betűket tartalmaztak... Vagy talán csak számokat. Ami szintén elég gyenge biztonságot jelent.
De akárhogy is... ha egy mezei biztonsági cégnek megvoltak az erőforrásai hozzá, hogy "záros időn belül" így bejussanak, akkor állami titkosszolgálatoknak hogy ne lenne meg hozzá? És a Microsoft azt szeretné, hogy cégek mindenféle fontos adataikat bizzák rájuk... Akik megtették azok nyitott könyvek. Igen, jelen idő is. Hiába derült ez ki, mert volt más út, van más út és lesz is más út.
"A hibát felfedező kutatók szerint erre mindössze egy óra elég lehetett, ami célzott támadások esetében gyakorlatilag semmi, és tömeges visszaélésre is igen nagy mennyiségben adott lehetőséget."
Itt tényleg többszörösen alap biztonsági beállítások voltak katasztrofálisan rosszul kalibrálva. Máshol ahol kétfaktoros kódokat küldenek ki, van mondjuk két perced, hogy beírd, a Microsoftnál viszont akár egy órával később is megadhatod a kódot? Ez nagyon égő, nagyon nem profi. Pedig állítólag a felhős cégeknél a legjobbak dolgoznak...
"a megtámadott felhasználók a feltörési kísérletekből sem vehettek semmit észre."
Igen, ez az egyik legjobb megoldás hackerek részéről talán...
"Ugyanakkor mivel a sérülékenységet jelentették a Microsoftnak, az kiküszöbölte a visszaélési lehetőséget, és most már ilyen módon nem lehet kikerülni a felhőszolgáltatás többfaktoros védelmét."
Aham, szuper, csakhogy sok-sok éven át mondják, hogy mennyire szuperbiztonságos a felhőjük és hogy a legjobbak dolgoznak nekik, de közben kiderül, hogy megint itt egy módszer, ami azért létezhetett, mert az alap biztonsági beállításaik agyadat eldobod szinten rosszak voltak és emiatt mióta létezik a felhő minden tag után kémkedhettek így, úgy hogy még csak fel se tünt a felhasználónak.
0 Hozzászólás:
Legyél te az első hozzászóló!
Hozzászólás írásához be kell jelentkezni: