RSS

Windows 10 Anniversary Update victime d’une faille vieille de 20 années

05 Août

 

Source : PC Astuces

Windows 10 Anniversary Update n’a pas corrigé la faille, présente depuis 1997, et qui permet à des pirates de récupérer les identifiants de connexion de l’utilisateur.

En 1997, un bug était découvert dans Windows. Il permettait à des personnes mal intentionnées de récupérer les informations de connexion (login et mot de passe) du compte Windows. Pour y arriver, le pirate doit mettre en place un partage SMB (Server Message Block) et tenter d’attirer l’utilisateur vers ce serveur à l’aide de l’adresse IP. Si l’utilisateur s’y connecte, le pirate récupère le login, le domaine mais également les hashs LM du mot de passe avec un niveau de sécurité ultra faible et facilement crackable.

Un risque de plus en plus élevé

Microsoft ne s’est jamais vraiment penché sur le problème à cause du faible risque. Mais depuis Windows 8, le compte Windows peut-être lié à un autre compte dans le cloud, à l’image d’un compte Microsoft Exchange, Hotmail ou même Office 365. Le risque est donc beaucoup plus élevé, à condition toutefois de réussir à faire cliquer l’utilisateur sur l’adresse IP depuis une application qui ne dispose pas d’une sécurité comme le navigateur Edge.
Ce bug, découvert en 1997, n’a toujours pas été corrigé, et se retrouve donc encore dans la toute dernière mise à jour Anniversary Update de Windows 10. Il serait donc temps que Microsoft propose un correctif.

 
 

Étiquettes : , , , ,

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :