תביס אורמנדי, חוקר אבטחה בגוגל, גילה לאחרונה פגיעות האורבת במנהל הסיסמאות של Windows 10. באג זה מאפשר לתוקפי סייבר לעשות זאת לגנוב סיסמאות.
פגם זה מגיע עם יישום מנהל הסיסמאות של צד שלישי ל- Keeper שמגיע מותקן מראש בכל מכשירי Windows 10. נראה כי פגם זה דומה למדי לזה אותו חוקר אבטחה גילה עוד בשנת 2016.
פרטים לגבי מתקפת הסייבר
טוויס אורמנדי הצהיר כי הוא זוכר שהגיש באג על האופן בו הוחדר ממשק משתמש מיוחס לדפים. לטענתו, הפעם זה קורה שוב אותו דבר שקרה עוד בשנת 2016 עם הגרסה הנוכחית של מנהל הסיסמאות.
תוויס הדגים את ההתקפה, והוא שיתף את כל הפרטים הדרושים פרויקט אפס. נראה כי באג זה נתון למועד אחרון לגילוי של 90 יום, ומשמעות הדבר היא שלאחר שחלוף 90 הימים הללו, תוויס תהיה רשאית לשתף את הפרטים המלאים של פגם זה ואת האופן בו ניתן לנצל אותו בפומבי.
לדבריו, הוא יצר VM חדש של Windows 10 עם תמונה בתולית מ- MSDN, והוא שם לב שמנהל סיסמאות של צד שלישי מגיע מותקן כברירת מחדל. לאחר מכן הוא מצא את הפגיעות הקריטית.
הנושא כבר סומן ותיקון הושק
שומר כבר סימן את הבעיה לפני כמה ימים, ועדכון חדש הושק כדי לתקן אותה. החברה דנה בנושא בפוסט בבלוג.
בהודעת Keeper נכתב כי כל הלקוחות שמפעילים את סיומת הדפדפן ב- Chrome, Edge ו- Firefox כבר קיבלו את גרסת 11.4.4 בתהליך עדכון סיומת הדפדפן שלהם. משתמשים שמפעילים את תוסף Safari יכולים לעדכן ידנית לגרסה 11.4.4 על ידי ביקור בדף ההורדות של החברה. שומר אמר גם כי היישומים הניידים והשולחניים לא הושפעו מבעיה זו והם אינם דורשים עדכון.
כדי למנוע התקפות סייבר, אנו ממליצים לעדכן את כל האפליקציות שלך. אתה יכול הורד את התוסף עבור Microsoft Edge מחנות מיקרוסופט.
סיפורים קשורים לבדיקה:
- 10 הכלים המובילים לשחזר את סיסמת Windows 10 שאבדת
- מה לעשות כאשר אתה מאבד את סיסמת Windows 10 שלך?
- חמשת מנהלי הסיסמאות המובילים של Windows 10 לשימוש
