Deze 19-jarige bug lekt je Windows-wachtwoord

$config[ads_kvadrat] not found

Logging into a Windows Computer Without the Password

Logging into a Windows Computer Without the Password
Anonim

Hackers kunnen zich op afstand aanmelden op uw Windows-pc, toegang krijgen tot uw Outlook-account en uw Skype-berichten bekijken door een bug te gebruiken die al sinds 1997 bestaat en die Microsoft sindsdien niet meer heeft gerepareerd.

De bug lekt Microsoft-accountnamen en gehashte wachtwoorden. Dat is beter dan het onthullen van de wachtwoorden in platte tekst - hash-wachtwoorden vereisen op zijn minst enige moeite om te ontcijferen - maar zwakke wachtwoorden zouden in slechts een paar seconden kunnen worden gekraakt. Zodra dat gebeurt, heeft de aanvaller toegang tot vrijwel elke Microsoft-service en kan hij mogelijk zelfs op afstand inloggen op een Windows-pc die is verbonden met het account.

"Om dit te exploiteren, zou een aanvaller gewoon een netwerkshare opzetten. Een ingesloten afbeeldingslink die naar die netwerkshare verwijst, wordt vervolgens naar het slachtoffer verzonden, bijvoorbeeld als onderdeel van een e-mail of website, " hackaday legt uit. "Zodra de voorbereide inhoud wordt bekeken in een Microsoft-product zoals Edge / Spartan, Internet Explorer of Outlook, probeert die software verbinding te maken met die share om de afbeelding te downloaden."

Dat is slecht nieuws voor iedereen die zijn account heeft verbonden met Skype, Office, Xbox Live, OneDrive en andere Microsoft-services die persoonlijke gegevens kunnen opslaan. Maar er is goed nieuws: de bug is alleen van invloed op mensen die Internet Explorer, de nieuwe Edge-browser of Outlook gebruiken om een ​​aangetaste website te bezoeken. Iedereen die een alternatieve webbrowser of e-mailservice gebruikt, is al veilig.

Perfect Privacy heeft een website opgezet die Windows-gebruikers kan helpen bepalen of de inloggegevens van hun Microsoft-account naar de wereld worden gelekt. (Het waarschuwt ook dat iedereen die de test uitvoert zijn wachtwoord onmiddellijk moet wijzigen als zijn inloggegevens worden gedeeld. Het enige dat iemand hoeft te doen om deze site te hacken, is om heel veel waardevolle logins te krijgen.)

Eerder deze maand waarschuwde de Franse National Data Protection Commission dat Windows 10 de privacy van gebruikers schendt, wat betekent dat deze bug gewoon een reden is om Windows 10 niet te gebruiken zonder zich bewust te zijn van de risico's.

Microsoft laat deze bug niet alleen bijna twee decennia op zijn klanten inwerken, maar het verandert ook Windows op manieren die dit beveiligingslek meer verwoestend maken. "In 1997 had de aanvaller alleen uw lokale Windows-inloggegevens verkregen," hackaday schrijft. "Maar in Windows 10 is de standaard inlogmethode het Microsoft-account van de gebruiker", wat betekent dat het nu volledige toegang tot iemands systeem biedt.

$config[ads_kvadrat] not found