В общем доступе обнаружены сотни проектов Microsoft Dynamics
Главная » Новости

В общем доступе обнаружены сотни проектов Microsoft Dynamics

Татьяна Никитина 28 Апреля 2021 - 16:34
...
В общем доступе обнаружены сотни проектов Microsoft Dynamics

Ошибка в конфигурации сервера хранения данных в облаке Microsoft Azure поставила под угрозу сохранность 3800+ файлов с исходными кодами и другой внутренней информацией участников проектов Microsoft Dynamics. По свидетельству vpnMentor, эти данные, общим объемом 63 Гбайт, были загружены на сервис в период с января по сентябрь 2016 года.

Связанные бизнес-приложения линейки Microsoft Dynamics предназначены в основном для управления ресурсами предприятий (ERP) и взаимодействия с клиентами (CRM). Многие из них — разработки сторонних компаний, которые Microsoft покупает и предоставляет в пользование солидным клиентам (финансистам, ритейлерам, госструктурам) под своим брендом.

Угрозу утечки данных, имеющих отношение к Microsoft Dynamics, исследователи обнаружили в начале января этого года. По их словам, слабая защита облачного хранилища позволяла даже неискушенному хакеру с легкостью получить доступ к содержимому сервера — такому как заявки на участие в проекте, описание продуктов, исходные коды, вшитые пароли. Многие из этих разработок уже запущены в производство.

Предварительное расследование показало, что это хранилище может принадлежать канадской консалтинговой компании Adoxio KPMG или самой Microsoft. Поскольку доступ к содержимому плохо защищенного сервера открывал возможность для промышленного шпионажа и кражи интеллектуальной собственности, авторы находки в срочном порядке связались с обоими предполагаемыми владельцами.

Ответ из KPMG последовал незамедлительно: они заявили, что не имеют отношения к данному Azure-аккаунту, и посоветовали обратиться в Microsoft. Последняя долго кормила vpnMentor автоответами, но к концу февраля исследователи обнаружили, что защита хранилища усилена.

Когда, наконец, последовал долгожданный вразумительный отклик от техногиганта, оказалось, что тот принял сигнал vpnMentor за извещение о некой уязвимости в его софте. В итоге факт утечки Microsoft не признала и свою ответственность за нее не подтвердила.

И только недавно, когда эта история получила огласку в СМИ, один из журналистов сообщил исследователям, что Microsoft назвала провинившийся аккаунт в Azure демоверсией, то есть в неявном виде признала-таки его своим.

Следующая главная новость »
AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу
Татьяна Никитина 04 Февраля 2026 - 21:18
Уязвимости программ Домашние пользователиКорпорации
Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий:

  • 144.0.7559.97 (Stable)
  • 145.0.7632.18 (Beta)
  • 146.0.7647.4 (Dev)
  • 146.0.7653.0 (Canary)

В Google подтвердили возможность подобной атаки по стороннему каналу, но заявили, что решить проблему нереально.

AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »
В Пулково протестировали посадку на самолёт по биометрии
Новость
В Пулково протестировали посадку на самолёт по биометрии
Теперь с Android-смартфона можно заблокировать компьютер на Windows 11
Новость
Теперь с Android-смартфона можно заблокировать компьютер на...
Античит Riot добрался до BIOS: Valorant может не запуститься
Новость
Античит Riot добрался до BIOS: Valorant может не запуститься

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.