20 年历史的 Bug 被发现会泄漏微软 Live 账号登录信息

lucky☆star

https://www.perfect-privacy.com/ ... s-leaks-login-data/

1997 年发现的微软自动认证漏洞从来没有修复过，现在研究人员发现该漏洞能在 Windows 8 和 Windows 10 下被利用泄漏微软 Live 账号的登录信息。漏洞会曝光用户的登录名和密码的 NTLMv2 哈希值，而在 GPU 加速之下破解哈希密码不再变得困难。如果你使用IPSec ***，虽然不会泄露你的Live密码等，但会泄露你IPSec ***的用户名和密码。要触发这个漏洞，攻击者需要设置一个网络共享，然后诱骗受害者访问任何共享 IP，比如在受害者访问的网站上嵌入指向共享 IP 的图像。当用户使用微软的产品尝试访问该链接时它会向其发送微软的账号。安全研究人员建议不要使用微软的浏览器或邮件客户端访问网络共享。Windows 用户可以通过 IE 或 Edge 测试自己的系统是否存在该漏洞，Chrome 和 Firefox 不受影响。

测试地址
https://msleak.perfect-privacy.com/

避免方法:
1.不要使用Internet Explorer、Edge、Outlook
2.不要使用Live账户登录Windows

你用IE或Edge访问个恶意网站，你Live密码就被盗了。
Live包含了你Microsoft 帐户、Skype账户、电子邮件、Xbox Live等等...
这酸爽...当然你启用了二步验证或许没事，但是你最好祈祷你不会遇到撞库攻击...

zkbskcwi

多年的chrome用户表示毫无鸭梨

mousyarquiry

没有live账号毫无压力

akira905

这标题有種要打語文老師的冲动

～～～～～～～～～～～～～～～～～

第九使徒

edge:我接锅

ヴィンセント

吓得我赶紧测试，不过...并没有发生什么很厉害的事情

ヴィンセント

第九使徒 发表于 2016-8-3 12:29
edge:我接锅

接什么锅

该用户已被禁言

黑账户估计又得少一批了
不过现在也无所谓了

zctang305

怕个鸟，我这种穷鬼也没他们看的上的东西。不用live登录win10怎么继续预览版？

第九使徒

ヴィンセント 发表于 2016-8-3 12:32
接什么锅

不是写着么 用ie和edge访问恶意网线就可能被盗 chrome火狐都没事