研究者Ahmed Mehtabは( ニュース 、 研究 )GMailアカウントを部分的にハッキングするための非自明な方法を発見しました。 さまざまなアカウントを組み合わせてメールを転送する機能のエラーを使用して、被害者に代わってメッセージを送信する方法を示しました。 通常の状態では、設定の対応するメニューを使用して、追加のアカウントを自分のアカウントに接続できます。 その後、追加のメールに確認が送信されます。 このメッセージのリンクをクリックする必要があります。この追加アカウントに代わって、自分のメールボックスからメールを送信できます。
したがって、攻撃されたメールにアクセスできない場合、確認の手紙とリンクは表示されません。 ただし、まれに、これは必須ではありません。攻撃されたアカウントが非アクティブ化され、Googleメールサーバーがメッセージ配信の不可能性に関する通知を送信する場合。 その後、標準的な方法で確認を要求することができ、攻撃されたボックスに送信され、配信不能に関するメッセージの一部として全体として返されます。 あとは、リンクをクリックするだけです。
攻撃の範囲が非常に限られていることは明らかです。実際のメールボックスに対しては、何らかの方法で所有者がアカウントを無効にする場合にのみ可能です。 2番目のオプション:被害者はメールボックスをブロックしました。この場合、同様のメッセージが送信され始めます。 被害者に代わって手紙を送ることはできますが、受け取ることはできません。 研究者は、gmail @ gmail.comのような美しい名前の存在しないアドレスをメールにねじ込むことに成功しました。 当然のことながら、この研究の公開時点では、抜け穴はすでに閉じられていました。
攻撃ビデオ:
研究者は、Outlook Web Accessの2要素認証をバイパスする方法を示しています
ニュース
UPD:尊敬されているVitalKoshalewの コメントをご覧ください。 少なくともすべてはそれほど単純ではありませんが、実際には、2FAの「脆弱性」は、推奨されない構成OWA + EWS + 2FAによって引き起こされる可能性があります。
しかし、このニュースでは、閉じられていないか、脆弱性として認定できない脆弱性、またはジョークのように「システム全体を変更する必要がある」脆弱性について話している。 要するに、被害者企業がこのサービスの標準構成を使用している場合、Outlook Web Access企業メールのWebインターフェイスの2要素認証は簡単に回避できるということです。 標準構成では、OWAだけでなく、Exchange Webサービスコンポーネントも外部からアクセス可能であると想定しており、2FAは原則として実装されていません。 EWSを介して、メールにアクセスすることもできます。これにより、2要素認証は無意味になります。
研究者( レポート )は、情報をマイクロソフトに送信しましたが、応答を受信せず、データを公開しました。 その後、Microsoftは外部からのEWSへのアクセスを無効にする問題の解決策を提案しました。 実際、これは脆弱性に関するものではなく、間違った構成に関するものです。 一方、OWAのデフォルト設定について話しているため、ベンダー側での特定のアクションが依然として必要です。 少なくとも2FAの安全な実装のための推奨事項の形式では、まだ機能しています。
OpenSSLの脆弱性はクローズ
ニュース | アドバイザリー
今週、OpenSSLライブラリのかなり深刻な脆弱性が解決されました。 この脆弱性は、最近標準化された ChaCha20-Poly1305暗号化アルゴリズムを使用したTLS接続中に悪用される可能性があります。特定の条件下で、サービス拒否が引き起こされる可能性があります。
しかし、これ以上はありません。 このエラーはライブラリコードに最近導入されました。バージョン1.1.0にのみ存在し、アップデート1.1.0cで修正されています。 さらに、OpenSSL開発者は、ライブラリバージョン1.0.1以前のサポートが廃止されたことを思い出しました。新年から、このブランチの更新とパッチはリリースされなくなります。
他に何が起こった
Google は、危険なコンテンツを繰り返しホストするサイト用に個別のフラグを作成しました。
先週、WindowsのITW 脆弱性はクローズされました 。
ラボの専門家は、Telegramボットメカニズムを使用した暗号作成者について話します。
古物
「エアコップ」
非常に危険なウイルス。 これは、フロッピーディスクのブートセクタに影響を与え、1/39/9(ヘッド/トラック/セクタ)の古いブートセクタを保持します。 このアドレスにあるデータは破棄されます。 再起動後も生き残ろうとしています。 システムDOSファイルを含まないディスクから起動しようとすると、「Non-system」と表示されます。 定期的な報告:「赤色の状態、生殖器の攻撃-Aircop」。 int 12h、13h、1Bhをフックします。
Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 99ページ
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。