The Refractive Thinker Vol. I: Chapter 10 Dr. Cheryl Lentz F
ハッカーは、1997年以降に発生したMicrosoftがその後修正する必要のないバグを悪用して、Windows PCにリモートサインインし、Outlookアカウントにアクセスし、Skypeメッセージを表示することができます。
このバグにより、マイクロソフトのアカウント名とパスワードがハッシュされます。プレーンテキストでパスワードを明らかにするよりも優れています - ハッシュされたパスワードは少なくともある程度の解読作業を必要とします - しかし、弱いパスワードはほんの数秒で解読される可能性があります。これが行われると、攻撃者は基本的にあらゆるMicrosoftサービスにアクセスでき、アカウントに接続されているWindows PCにリモートからサインインすることさえ可能です。
「これを悪用するには、攻撃者はネットワーク共有を設定するだけです。そのネットワーク共有を指す埋め込み画像リンクは、被害者に送信されます。たとえば、電子メールやWebサイトの一部として。 ハッカデー 説明します。 「Edge / Spartan、Internet Explorer、OutlookなどのMicrosoft製品の内部で準備されたコンテンツが表示されるとすぐに、そのソフトウェアは画像をダウンロードするためにその共有に接続しようとします。」
自分のアカウントをSkype、Office、Xbox Live、OneDrive、その他の個人データを保存できるMicrosoftのサービスに接続したことがある人にとっては、これは悪いニュースです。しかし、いくつかの良いニュースがあります。このバグは、Internet Explorer、新しいEdgeブラウザ、またはOutlookを使用して侵入先のWebサイトにアクセスしたユーザーにのみ影響を及ぼします。他のWebブラウザや電子メールサービスを使用している人は誰でも安全です。
Perfect Privacyは、Windowsユーザーが自分のMicrosoftアカウントの資格情報が世界中に漏洩しているかどうかを判断するのに役立つWebサイトを作成しました。 (また、資格情報が共有されている場合は、テストを実行している人はだれでもすぐにパスワードを変更する必要があると警告されます。貴重なログインを得るために誰かがそのサイトに侵入するだけです。)
今月初め、フランスのNational Data Protection Commissionは、Windows 10がユーザーのプライバシーを侵害すると警告した。つまり、このバグは、リスクを意識せずにWindows 10を使用しないもう1つの理由です。
マイクロソフトは、このバグを20年近くにわたって顧客に影響させてきただけでなく、この脆弱性をより深刻なものにするような方法でWindowsを変更しました。 「1997年にさかのぼると、攻撃者はローカルのWindowsログインデータしか入手できなかったでしょう」 ハッカデー 書き込みます。 「しかし、Windows 10では、デフォルトのログイン方法はユーザーのMicrosoftアカウントです」ということは、現在誰かのシステムに完全にアクセスできることを意味します。