El error de Microsoft podría abrir la puerta a la estafa de phishing más dañina hasta la fecha

El error de Microsoft podría abrir la puerta a la estafa de phishing más dañina hasta la fecha

Se ha dejado un fichero de Desktop Service Store (DS_STORE) en un servidor web de acceso público propiedad de Microsoft Vancouver en un esencial inconveniente de seguridad empresarial, conforme los informes.

Si el fichero hubiese caído en manos de actores maliciosos, podría haberse empleado para ataques cibernéticos o bien la distribución de malware en toda la web, en tanto que guarda metadatos que conducen a volcados de base de datos de WordPress, nombres de direcciones de correo de usuarios y administradores, como claves de acceso hash para el sitio de Microsoft Vancouver.

La vulnerabilidad fue detectada por estudiosos de ciberseguridad de CyberNews en el mes de septiembre de dos mil veintiuno, quienes, mientras que estudiaban un motor de busca subterráneo de Internet de las cosas (IoT), tropezaron con el fichero DS_STORE.

Índice
  1. Falla de seguridad
  2. Microsoft tarda en reaccionar

Falla de seguridad

Estos tipos de ficheros han de estar con fuerza protegidos, conforme CyberNews, pues muestran su estructura de carpetitas, lo que podría dar sitio a filtraciones de datos sensibles o bien reservados.

Este fichero DS_STORE particularmente facilitó a los estudiosos ver el contenido de la carpetita del servidor, que incluía una base de datos SQL, un fichero de configuración y un fichero de volcado de la base de datos. Los estudiosos asimismo hallaron que la base de datos SQL y el fichero de volcado contenían volcados de la base de datos de WordPress que guardaban muchas credenciales de comienzo de sesión de administrador y la clave de acceso de administrador con hash para el sitio de Microsoft Vancouver WordPress.

Microsoft tarda en reaccionar

La clave de acceso en sí se ha codificado con MD5, que conforme CyberNews “se conoce desde hace un buen tiempo como uno de los algoritmos de hash menos seguros”, singularmente para las claves de acceso. Un actor avieso hábil se ocuparía de manera rápida de esas claves de acceso y pasearía por el lugar de WordPress como administrador en poquísimo tiempo.

Para empeorar las cosas, CyberNews tardó "semanas" en conseguir una contestación de Microsoft y, desde el momento en que se enteró, la empresa tardó prácticamente un mes en solucionar el inconveniente. Los estudiosos afirmaron que se vieron obligados a presionar a Microsoft en mails de contacto oficiales, números de teléfono y mails de atención al usuario, solo para llamar la atención.

Aún de este modo, el inconveniente semeja haberse resuelto.

Microsoft Vancouver es la oficina corporativa donde diferentes equipos trabajan en productos como Aprecies, MSN, Skype, el juego Gears of War, como múltiples aplicaciones de escritorio de realidad mixta y HoloLens.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir