Эта 19-летняя ошибка утечка вашего пароля Windows

Хакеры могут удаленно войти в систему на вашем ПК с Windows, получить доступ к вашей учетной записи Outlook и просмотреть ваши сообщения Skype, воспользовавшись ошибкой, существовавшей с 1997 года, которую Microsoft не удосужилась исправить с тех пор.

В результате ошибки просачиваются имена учетных записей Microsoft и хэшируются пароли. Это лучше, чем показывать пароли в виде простого текста - хешированные пароли требуют, по крайней мере, некоторых усилий для расшифровки, - но слабые пароли могут быть взломаны всего за несколько секунд. Как только это произойдет, злоумышленник может получить доступ практически к любой службе Microsoft и, возможно, даже удаленно войти на ПК с Windows, подключенный к учетной записи.

«Чтобы воспользоваться этим, злоумышленник просто настроит сетевой ресурс. Встроенная ссылка на изображение, которая указывает на эту сетевую папку, затем отправляется жертве, например, как часть электронного письма или веб-сайта ». Hackaday объясняет. «Как только предварительно просмотренный контент просматривается в продукте Microsoft, таком как Edge / Spartan, Internet Explorer или Outlook, это программное обеспечение попытается подключиться к этой общей папке, чтобы загрузить изображение».

Это плохие новости для тех, кто подключил свою учетную запись к Skype, Office, Xbox Live, OneDrive и другим службам Microsoft, которые могут хранить личные данные. Но есть и хорошие новости: эта ошибка затрагивает только людей, которые используют Internet Explorer, новый браузер Edge или Outlook для посещения взломанного веб-сайта. Любой, кто использует альтернативный веб-браузер или почтовый сервис, уже в безопасности.

Perfect Privacy создала веб-сайт, который может помочь пользователям Windows определить, были ли утрачены учетные данные их учетных записей Microsoft. (Он также предупреждает, что любой, кто запускает тест, должен немедленно изменить свои пароли, если их учетные данные являются общими. Все, что нужно, - это взломать этот сайт, чтобы получить много ценных входов в систему.)

Ранее в этом месяце Национальная комиссия по защите данных Франции предупредила, что Windows 10 ставит под угрозу конфиденциальность пользователей, что означает, что эта ошибка - еще одна причина не использовать Windows 10, не зная о связанных с этим рисках.

Microsoft не только позволяла этой ошибке затрагивать своих клиентов в течение почти двух десятилетий, но и изменила Windows таким образом, чтобы сделать эту уязвимость более разрушительной. «Еще в 1997 году злоумышленник получил бы только ваши локальные данные для входа в Windows», Hackaday пишет. «Но в Windows 10 по умолчанию используется метод входа в систему учетная запись Microsoft», что означает, что теперь он предлагает полный доступ к чьей-либо системе.