טאביס אורמנדי, חוקר אבטחה בגוגל, גילה לאחרונה פגיעות האורבת במנהל הסיסמאות של Windows 10. באג זה מאפשר לתוקפי סייבר לגנוב סיסמאות.

ליקוי זה מגיע עם יישום מנהל הסיסמאות של Keeper של צד שלישי שמותקן מראש בכל התקני Windows 10. נראה כי הפגם הזה די דומה לזה שגילה אותו חוקר אבטחה עוד בשנת 2016.

פרטים על מתקפת הסייבר

טוויס אורמנדי הצהיר שהוא זוכר שהגיש באג בנוגע לאופן בו הוחדר ממשק UI המיועד לדפים. הוא טען שהפעם זה קורה שוב אותו הדבר שקרה כבר בשנת 2016 עם הגרסה הנוכחית של מנהל הסיסמאות.

טאוויס הדגים את הפיגוע, והוא שיתף את כל הפרטים הדרושים בפרויקט אפס. נראה כי באג זה נתון למועד האחרון של גילוי ל -90 יום, ומשמעותו היא שאחרי שחלפו 90 הימים האלה, תהא טאביס חופשית לחלוק את הפרטים המלאים של פגם זה ואופן השימוש בו באופן ציבורי.

לדבריו, הוא יצר Windows 10 VM חדש עם תמונה שלילית מ- MSDN, והוא שם לב שמנהל סיסמאות של צד שלישי מגיע מותקן כברירת מחדל. לאחר מכן הוא מצא את הפגיעות הקריטית.

הנושא כבר מסומן, והתיקון הושק

Keeper כבר סימן את הבעיה לפני מספר ימים, ועדכון חדש הופעל כדי לפתור אותה. החברה דנה בנושא בפוסט בבלוג.

בפוסט של Keeper נאמר כי כל הלקוחות שמפעילים את סיומת הדפדפן ב- Chrome, Edge ופיירפוקס כבר קיבלו את גרסה 11.4.4 בתהליך עדכון הרחבת דפדפן האינטרנט שלהם. משתמשים שמפעילים את התוסף Safari יכולים לעדכן ידנית לגרסה 11.4.4 על ידי ביקור בדף ההורדה של החברה. Keeper אמר גם כי האפליקציות לנייד ושולחן העבודה לא הושפעו מבעיה זו ואינן דורשות עדכון.

כדי למנוע התקפות סייבר, אנו ממליצים לעדכן את כל האפליקציות שלך. אתה יכול להוריד את התוסף עבור Microsoft Edge מחנות Microsoft.