После скандала с Recall Microsoft не собирается опровергать обвинения в лазейках в безопасности в ближайшее время

Напомним, был бардак.

Значок времени чтения 2 минута. читать


Читатели помогают поддержать MSpoweruser. Мы можем получить комиссию, если вы совершите покупку по нашим ссылкам. Значок подсказки

Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее

Ключевые заметки

  • Информатор Эндрю Харрис раскрыл критический недостаток в AD FS, который игнорируется для защиты контрактов.
  • Эта уязвимость привела к кибератаке SolarWinds, ставящей под угрозу федеральные агентства США.
  • Это не единственная проблема, связанная с безопасностью, с которой Microsoft столкнулась в последнее время.
Здание Майкрософт

Амбициозная цель Microsoft в области искусственного интеллекта с Аппаратное обеспечение ПК Copilot+, несмотря на свои требовательные характеристики, заслуживает внимания. Ключевая функция Recall позволяет пользователям искать на рабочем столе все, что они когда-либо делали, по сути позволяя им «вспомнить» все прошлые действия.

Но даже в этом случае катастрофический прием со стороны публики и опасения по поводу лазейки в безопасности несколько помешали тому, чем потенциально могла бы стать эта функция. Microsoft пришлось действовать быстро, которые они сделали, но ущерб был нанесен, поскольку компания из Редмонда не имеет лучшего опыта в заботе о том, чего хотят люди.

А теперь, недавнее откровенное разоблачение бывшего сотрудника Microsoft обвинило компанию в том, что она ставит прибыль выше устранения критического недостатка программного обеспечения. Хотя это не имеет ничего общего со стремлением Microsoft к развитию искусственного интеллекта, это все же говорит о том, как бизнес ставит прибыль выше безопасности.

Опубликовано ProPublicaИнформатор Эндрю Харрис заявил, что Microsoft игнорировала предупреждения, чтобы не потерять государственные контракты. Он сказал, что обнаружил и сообщил о критической уязвимости в программном обеспечении Microsoft, которая позволяет злоумышленникам выдавать себя за законных пользователей.

Этот недостаток, обнаруженный в службах федерации Active Directory (AD FS) Microsoft, позволил злоумышленникам подделать токены аутентификации, используя протокол SAML для аутентификации, что позволило злоумышленникам выдавать себя за законных пользователей и получать доступ к конфиденциальным данным без обнаружения.

Уязвимость была использована в ходе кибератаки SolarWinds, скомпрометировавшей несколько федеральных агентств США, включая Национальное управление ядерной безопасности и Национальные институты здравоохранения.

Несмотря на внутренние опасения, бездействие Microsoft сделало многие системы уязвимыми, что привело к серьезному нарушению безопасности и использованию российскими хакерами.

Уч.

Оставьте комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены * *