czwartek, 24 września, 2020
Strona główna Artykuły Dziury w Windows Mail

Dziury w Windows Mail

Luka umożliwia hackerowi uruchomienie jakiegokolwiek wykonywalnego pliku na stacji ofiary, w momencie gdy, ta kliknie specjalny link otrzymany np. w mailu. Warunkiem przeprowadzenia takiego ataku jest istnienie w katalogu zawierającym daną aplikację, podkatalogu o tej samej nazwie, co aplikacja (jednak bez rozszerzenia).


Bardziej obrazowo: załóżmy, że w katalogu C:WindowsSystem32 mamy podkatalog calc.W takim wypadku każde kliknięcie na link C:WindowsSystem32calc?, uruchomi kalkulator bez jakiegokolwiek ostrzeżenia użytkownika systemu.
Jak już zauważyliśmy przeprowadzenie ataku tą metodą jest dość trudne, a to ze względu na konieczność istnienia na dysku zarówno złośliwego pliku jak i folderu o odpowiedniej nazwie oraz sprowokowanie użytkownika poczty do kliknięcia na spreparowany link.


Dziury tej nie należy jednak lekceważyć, gdyż luki w zabezpieczeniach Outlook Express (poprzednika Windows Mail) także początkowo wydawały się niegroźnie a Kingscope-hacker, który wykrył tę podatność już wymienił dwa programy Windows – winrm i migwiz, dla których istnieją odpowiednie katalogi. Haker przyznaje jednak, że do tej pory niemożliwe jest przekazanie parametrów do tych aplikacji (za hacking.pl).


Na ataki tą metodą są podatne następujące systemy:



Microsoft Windows Vista Ultimate
Microsoft Windows Vista Home Premium
Microsoft Windows Vista Home Basic
Microsoft Windows Vista Enterprise
Microsoft Windows Vista Business


Na razie nie ma niestety nakładki na Windows Mail, która by naprawiała tą lukę i wydaje się, że jedynym sposobem obrony przed atakiem z jej wykorzystaniem jest nieklikanie na podejrzane linki w swoich wiadomościach.


[źródło: securityfocus.com ]

PAWhttp://www.audyt.net
Portal zawierający praktyczne informacje dla audytorów wewnętrznych, a także narzędzia i wzorce dokumentów audytowych oraz informacje o szkoleniach, artykułach prasowych i książkach o tematyce audytorskiej.

Najpopularniejsze

Specjalista ds. marketingu (usługi audytorskie) w Kancelarii Audytorskiej

Kancelaria Audytorska EXPERIO poszukuje kandydatów na stanowisko: Specjalista ds. marketingu (usługi audytorskie) w Kancelarii Audytorskiej

NIK o dotowaniu zadań zleconych samorządom

Ocena systemu dotowania zadań zleconych samorządom jest zróżnicowana i zależy od charakteru udzielonych dotacji. W całym systemie dotacyjnym najwięcej udzielano dotacji o charakterze transferowym - i ich przekazywanie...

III Kongres GRC 2017

III Kongres GRC 2017 Governance Risk Compliance Audyt wewnętrzny, Cyberbezpieczeństwo,  18-19 października, Warszawa   Najważniejsze wydarzenie w zakresie Governance Risk Compliance w Polsce, najlepsze doświadczenie, wybitni eksperci. PBSG, SDPK i...

Fraud Specialist –EMEA

Citi Service Center Poland poszukuje kandydatów na stanowisko: Fraud Specialist –EMEA Location: Warszawa 17022067 The role reports to Head of International Wholesale Cards Fraud Risk Management and is...