在所有Windows系统中均存在的一个安全问题可能会导致用户在访问了钓鱼网站的情况下泄露其微软账号用户名、密码,而微软账号绑定和关联了大量重要的业务,这些信息也将受到影响
其中包括:
微软OneDrive(云存储)
微软的Outlook(电子邮箱)
Skype账户(如果与微软账户绑定)
Xbox Live网络
微软Office
MSN帐户(即时通讯)
Windows Mobile账户(访问手机)
微软Bing账户(访问搜索历史记录)
基本上这种攻击可以攻破用户用他的微软账户绑定的任何服务。如果计算机设置为允许远程登录,这也可能会使得远程代码得以执行。
我们是从来自俄罗斯供应商ProstoVPN的ValdikSS那里得到的关于这个问题的信息
在他的博客(habrahabr.ru/post/306810/)中有更多关于这个问题的信息。
你可以在我们的专用测试网站上检查你是否容易受到这个问题影响
漏洞在线测试地址:msleak.perfect-privacy.com/
如果这个测试表明你的登录账号和密码或密码散列已经暴露了,那么你应该立即更改你的密码,并考虑采取这篇文章末尾列出的措施。
详情
为了触发这个泄露,攻击者需要设置一个网络共享,并且诱骗受害者访问任何他共享的IP地址。如果受害者使用的浏览器是Internet Explorer或Edge(Chrome和Firefox不受影响) ,这可以简单地通过将一个图像嵌入到一个网站来实现。此外,另一种可能性是将这个网络共享嵌入到电子邮件中。如果受害者使用Microsoft Outlook,这也将泄漏他的登录凭证。
更具体地说,一个成功的攻击可以获取登录账号、密码的NTML散列和Windows域。然而,这些散列可以被轻松破解——对弱密码来说仅仅需要几秒钟。一般来说,如果你的Windows密码散列泄露了,安全的方式是认为你的密码已经被攻破了。
注意,这既不是一个新问题也不是一个安全漏洞:在1997年,Aaron Spangler已经发现了这个问题。此外,在2015年有一个一年一度的黑帽安全会议上也讨论过这个问题。当时人们并不认为这是一个大问题,因为针对这个问题的攻击只会泄露本地Windows登录信息(在大多数情况下并不能通过这个凭证进行远程连接)。但自从Windows 8以来,微软允许使用微软Live账号登录到自己的电脑,而且在Windows 10上将其设置为默认。结果是,像我们在这篇文章开始提到的那样,针对这个问题的攻击可以攻破与你的微软账号绑定的每一个服务,包括电子邮件、Skype和XBox Live。
虽然这个问题与VPN并不相关,但是也会影响到VPN的连接:当使用IPSec VPN连接时,一个成功的攻击虽然不会获取你的Windows凭据,但是会获取你的VPN连接的用户名和密码。虽然这并不影响VPN隧道加密的安全,但是它可能会攻破匿名的VPN用户。同样公司VPN(例如外部服务代理)的VPN登录凭证也可能会落入到攻击者的手中。
即使VPN不会受到影响,我们仍然觉得保护我们的用户免受这些明目张胆的开放安全漏洞的威胁是我们的责任。因为这个原因我们更新了我们的Windows客户端软件,现在通过互联网发送到Samba源的请求都已经被屏蔽了。这意味着当使用我们的VPN管理器时,您的VPN和Windows凭据都不会被泄露。
临时解决办法:
1. 不要使用微软软件在互联网上访问网络共享(例如internet Explorer、Edge或Outlook)
2. 不要使用微软账号登录你的本地Windows机器