Windows 7 ja 8 -käyttöjärjestelmällä varustetun koneen salasana voi olla vaikea murtaa, mutta nyt hakkereille on löytynyt oikotie: Käyttäjän itselleen antama salasanavihje. Tietoturvatutkija huomasi, että vihje on helppo hakkeroida selväkieliseksi...
Nyt haavoittuvuuksien tutkija Jonathan Claudius sai käyttäjien kauhuksi selville, että salasanavihjeen merkkisotku on helppo muuntaa luettavaan muotoon. Hän on myös julkaissut koodinpätkän, jonka avulla voi automaattisesti hyökätä vihjeeseen hakkerien ja tietoturvatutkijoiden suosimalla Metasploit-työkalulla. Claudius kertoo SpiderLabs-blogissaan, miten hän ensin sattumalta huomasi, että salasanavihje on tallessa Windowsin rekisterissä tässä paikassa:
HKLM\SAM\SAM\Domains\Account\Users\ <userkey> \UserPasswordHint
Merkit muuntuivat luettavaksi melko yksinkertaisella Ruby-kielisellä koodinpätkällä...Löytynyt haavoittuvuus voi avata uuden oikopolun verkkohyökkääjille. Jos hyökkääjä pääsee etänä käsiksi salasanavihjeen rekisterimerkintään ja avaa sen, hänen tarvitsee vain päätellä vihjeestä, mikä on käyttäjätilin salasana. Sen jälkeen kone onkin vapaata riistaa.
Lisää tietoa ja kuva aiheesta:
Hakkereille löytyi uusi reikä: Windowsin salasanavihje
Kommentit
Tämän blogin kommentit tarkistetaan ennen julkaisua.