Microsoft團隊最近為其安全性修補了一個漏洞這使黑客使用GIF來攻擊用戶的計算機並利用其數據。黑客利用看似無害的GIF吸引人們,使他們容易被黑客入侵。
閱讀更多: 由於漏洞而無法安全使用的28個超過28個防病毒應用程序
發生了什麼,他們是怎麼做到的?
賽伯拉族研究人員發現了一個脆弱性,黑客可以僅通過查看GIF來折衷設備並竊取數據。當然,它已經被修復了,微軟很快就解決了Cyberark報導的問題。
缺陷來自一個被折衷的子域,該子域是為這些損壞的圖像提供的。用戶要做的就是查看GIF。之後,將對與他們的帳戶相關的數據進行攻擊
如果GIF甚至在後台打開,則缺陷可能會導致廣泛的數據盜用,勒索軟件或更糟糕的是公司間諜活動。由於企業被迫讓員工在家工作,因此在過去的一個月中,這些攻擊在過去一個月中取得了長足的增長,為他們提供了足夠的在線時間,並無限制地訪問了互聯網上的任何東西。
從那時起,使用工作場所協作工具的Microsoft團隊看到了比平時更多的黑客事件。
微軟說:“他們(用戶)永遠不會知道他或她已受到攻擊 - 使這種脆弱性……非常危險”
閱讀更多:航天器表明,金星的氣氛比行星本身快速旋轉。這就是原因。
這次攻擊對於將來的黑客方法意味著什麼
賽博拉克說,它於3月23日(鎖定剛開始)在其係統中通知了微軟的脆弱性。本週早些時候,微軟發布了一個修補程序來解決該問題。儘管如此,沒有證據表明惡意黑客曾經利用它。
他們還警告說,可能會有類似的攻擊將來可以從對其他平台上的GIF攻擊中復制。
薩里大學艾倫·伍德沃德(Alan Woodward)的一位教授說,當申請人未能進行強制性檢查時,已經看到了這種漏洞的類型,同時從外部服務器中引入內容或“顯然是無害的GIF”。
他說,這是一項可行的攻擊,“可以在所有用戶之間迅速傳播”。 “這將是非常利基的攻擊,可能是為高價值目標保留的。”
他補充說:“這是一個很好的證明,可以使用數據(無論多麼無害)如何將基於Web的應用程序帶入機器上的代碼段,並導致您根本不應被授權執行的功能。”
“它還表明了非常好的所謂的零點擊攻擊 - 我只是在此攻擊中顯示GIF可能會起作用,無需單擊狡猾的鏈接或打開誘捕的笨拙的文檔。”
伍德沃德說,所有軟件必然會最終都有安全缺陷,並說:“這是一個有益的故事,說明了您需要保持軟件更新的原因。”
