В доменах Yahoo и Microsoft можно дистанционно запускать код

Акция! Пентесты с двойной выгодойВыявите уязвимости внешнего и внутреннего периметра с помощью пентестов. Внешний пентест выявит уязвимости, через которые хакеры могут атаковать. Внутренний — покажет, что они будут делать, когда проникнут в инфраструктуру. Предотвратить компрометацию поможет акция на 2 пентеста от «Солара».→ Ознакомиться
Реклама. ООО «РТК ИБ». ИНН 7704356648, 16+

Кирилл Токарев 19 Мая 2014 - 23:40

Корпорации

Вредоносные программы

Уязвимости программ

...

Эксперт по компьютерной безопасности Ибрагим Хегази (Ebrahim Hegazy) нашел уязвимость, которая позволяет дистанционно проводить установку кода. Ошибку нашли на поддоменах Yahoo, Orange и Microsoft.

К счастью, брешь быстро залатали. Специалист обнаружил ошибку во время анализа домена Yahoo Mexico — mx.horoscopo.yahoo.net. Хегази установил, что можно получить доступ к панели администратора без логина и пароля. Исследователь назвал это проблемой «несанкционированного доступа к панели».

После входа Хегази сумел загрузить собственный aspx файл на сервер. Данный документ может содержать код, который позволит хакерам выполнять любые команды. Файл эксперта не содержал малвера. После эксперимента специалист заинтересовался наличием подобных проблем на других ресурсах. К его удивлению аналогичные ошибки он обнаружил у поддоменов MSN и французского оператора сотовой связи Orange.

В случае с Yahoo уязвимые адреса касались гороскопов и астрологии: pe.horoscopo.yahoo.net, ar.horoscopo.yahoo.net, co.horoscopo.yahoo.net, cl.horoscopo.yahoo.net, astrocentro.latino.msn.com и другие.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Мошенники звонят от имени киберполиции России и обвиняют в утечке данных

Татьяна Никитина 17 Июня 2025 - 18:15

Мошенничество Малый и средний бизнес Корпорации

Мошенники звонят от имени киберполиции России и обвиняют в утечке данных

Телефонные мошенники начали использовать в своих схемах имя УБК МВД РФ. При звонках они выдают себя за представителей этого подразделения и требуют провести проверку в связи с якобы выявленным фактом утечки данных.

Управление по борьбе с противоправным использованием ИКТ напоминает: по действующим нормам, все подобные претензии должны быть озвучены очно, с оформлением соответствующего протокола.

Использование мессенджеров с этой целью киберполиции, как и другим госорганам, запрещено. Более того, силовики никогда не просят предоставить пароль, код авторизации, платежные данные либо для сохранности перевести сбережения на указанный счет.

Россияне сталкиваются со звонками мошенников по несколько раз в месяц, в неделю или даже каждый день. В 17% случаев подобные попытки обмана завершаются успехом.

Особенно эффективны мошеннические звонки через мессенджеры. На противодействии таким атакам сегодня сосредоточены усилия государства, банков и операторов связи.

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.