Nul
Onderzoekers hebben laten zien hoe Microsoft ‘ s Cortana kan worden gebruikt voor het omzeilen van de beveiliging en bescherming van Windows-10.
Spreken op Black Hat in Las Vegas deze week, veiligheid onderzoekers Amichai Shulman en Tal Worden’ery van Kzen Netwerken, naast het Israel Institute of Technology Ron Marcovich en Yuval Ron, zei een kwetsbaarheid bestond in de voice-assistent, waardoor het omzeilen van de Windows-10 scherm vergrendelen.
Zoals gerapporteerd door Bedreiging Post, de kwetsbaarheid, genaamd “Open Sesame,” opent de deur, het omzeilen van de lock-scherm, en kunt bedreiging actoren op lokaal uitvoeren “gevaarlijke functies”.
De bug, CVE-2018-8140, lag binnen Cortana de standaard instellingen. Beschreven als een “Cortana misbruik van bevoegdheden Kwetsbaarheid” de kwetsbaarheid effecten Windows 10 machines en Windows 10 Servers.
Als het Windows-10 scherm vergrendelen schakelt het toetsenbord kunnen gebruikers gebruik maken van hun stem om een beperkt aantal vocale commando ‘ s. Echter, zodra Cortana is wakker geworden, het toetsenbord is niet langer beperkt.
Dit liet het onderzoeksteam om de lancering van lokale commando ‘ s, zonder de noodzaak voor authenticatie of gebruikers te valideren.
Als een resultaat, aanvallers in staat om gegevens op te halen uit input van de gebruiker-services, inclusief gevoelige tekst en media-inhoud — bladeren willekeurige websites, downloaden en uitvoeren van bestanden vanaf het Internet, en in sommige omstandigheden, verheffen privileges.
Als de aanval ontweken de noodzaak om in te loggen op het systeem en er is geen externe code is vereist, de onderzoekers zeiden dat de antivirus software oplossingen waren blind voor de activiteit, volgens de publicatie.
Het team opgemerkt dat het lock-scherm is verre van ondoordringbaar is; integendeel, het fungeert als een andere “desktop” met beperkte toegang.
Als meer apps worden toegevoegd aan de voice-assistent in combinatie met de lock-scherm, de potentiële kwetsbaarheid toeneemt.
TechRepublic: Cortana nu je mail lezen en je laten verbaal opstellen een reactie
“In het verleden, het besturingssysteem zorgde ervoor dat de UI is niet toegankelijk wanneer de computer is vergrendeld, dus ontwikkelaars hoeven niet te denken,” de onderzoekers gezegd. “Nu, het is de ontwikkelaars van’ verantwoordelijkheid’.
Zie ook: Nieuwe Wi-Fi-aanval scheuren WPA2-wachtwoorden met gemak
De kwetsbaarheid werd gemeld dat Microsoft op 16 April en de door het bedrijf uitgegeven een corrigerende patch op 12 juni. McAfee onderzoekers ook aangemeld Microsoft van hetzelfde lek.
In dezelfde maand, de Redmond reus opgelost 50 beveiligingsfouten in de Patch Tuesday update, met inbegrip van een zwart scherm probleem, een Adobe Flash Player lek wordt misbruikt in het wild, en een set van externe code uitvoering van bugs.
CNET: Microsoft toont Alexa en Cortana werken in slimme harmonie
Vorige en aanverwante dekking
Uitdaging aanvaard: de 15-jarige speelt Doom ‘niet te breken’ Bitfi Smart city-systemen zijn doorzeefd met kritieke beveiligingsproblemen Comcast customer portal kwetsbaarheden bloot gevoelige gegevens
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0