Microsoft heeft een beveiligingsupdate met betrekking tot Cortana en het is het bekijken waard.

CVE-2018-8140 gaat helemaal over "Cortana Elevation of Privilege Vulnerability."

Het beveiligingslek is "wanneer Cortana gegevens ophaalt van gebruikersinvoerservices zonder rekening te houden met de status. Een aanvaller die het beveiligingslek weet te misbruiken, kan opdrachten uitvoeren met verhoogde machtigingen."

Om de exploit te laten slagen, Hoewel, de aanvaller zou fysieke/console-toegang nodig hebben - en het systeem zou Cortana-assistentie moeten hebben ingeschakeld.

Dus waar gaat de update over? Het beveiligingslek wordt aangepakt "door ervoor te zorgen dat Cortana de status in overweging neemt bij het ophalen van informatie van invoerservices."

Dit verhaal begint met "Patch Tuesday" van juni (12 juni) en toen het aankwam, kon je zweren dat de muziek gedempte alarmbellen droeg.

Patches in deze cyclus hebben een kwetsbaarheid voor het uitvoeren van code verholpen met behulp van de standaardinstellingen voor Windows 10 en de Cortana-spraakassistent. In technisch jargon, we kijken naar een probleem met het ontdekken van een "Cortana-fout voor het omzeilen van het vergrendelscherm in Windows 10."

McAfee-ingenieur en beveiligingsarchitect Cedric Cochin en Steve Povolny, die daar leiding geeft aan geavanceerd dreigingsonderzoek, schreef over het Cortana-probleem van Windows 10. Ze leidden de lezers door wat er gebeurde.

"Persoonlijke digitale assistenten zoals Siri, Alexa, Google Assistent, en Cortana zijn handelswaar geworden in veel technologisch ingestelde huizen, " Zij schreven, en ze rapporteerden aan Microsoft verschillende problemen over Cortana. Rapporten zeiden dat ze in april details van het probleem aan Microsoft hebben bekendgemaakt.

Het team van Cochin en Povolny merkte op dat "een team van verschillende onafhankelijke onderzoekers deze kwetsbaarheid ook ontdekte en openbaarde rond de tijd van onze indiening. Extra eer voor deze ontdekking gaat naar:Ron Marcovich, Yuval Ron, Amichai Shulman en Tal Be'ery."

Hoewel de twee een interessant gedetailleerd verslag gaven van wat werd geïdentificeerd als kwetsbare punten, Darren Allan in TechRadar gaf een beknopte weergave van wat het probleem was:"je zou de stemassistent kunnen activeren vanaf het vergrendelscherm (ervan uitgaande dat Cortana in dit opzicht is ingeschakeld, op standaardinstellingen), en open een contextueel Windows 10-menu door simpelweg te typen terwijl Cortana naar een vraag luistert."

Ja, Microsoft heeft de problemen verholpen.

"In Windows 10, op de meest recente build op het moment van indiening, we hebben geconstateerd dat de standaardinstellingen 'Hey Cortana' inschakelen vanaf het vergrendelscherm, zodat iedereen kan communiceren met de op spraak gebaseerde assistent. "

De twee zeiden dat dit leidde tot kwetsbaarheden die het uitvoeren van willekeurige code mogelijk maakten. Ze zeiden dat typen terwijl Cortana naar een vraag op een vergrendeld apparaat begint te luisteren, een contextueel Windows-menu zal oproepen.

(Cue in gepijnigde glimlach.)

"We hebben nu een contextueel menu, weergegeven op een vergrendeld Windows 10-apparaat, "zeiden ze. "Wat kan er mis gaan?"

Windows Centraal zei, indien correct uitgevoerd door de hacker, "hackers kunnen Cortana vanaf het vergrendelscherm gebruiken om PowerShell-scripts uit te voeren of schadelijke software van een USB-stick te laden." Dan Thorp-Lancaster zei:"Onderzoekers konden de exploit ook gebruiken om een ​​wachtwoordreset uit te voeren en volledige toegang tot de machine te krijgen."

Ze kunnen de muisaanwijzer op elke relevante match houden. Als de overeenkomst wordt aangedreven door bestandsnaamovereenkomst, dan zou je het volledige pad van het bestand te zien krijgen. "Als de match wordt aangedreven door de match met de bestandsinhoud, dan krijgt u mogelijk de inhoud van het bestand zelf te zien."

Het McAfee-paar ging verder in detail over hun onderzoek van Cortana, en tot slot maakten ze het bijzonder belangrijke punt. "Het aanvalsoppervlak dat wordt gecreëerd door vocale commando's en persoonlijke digitale assistenten vereist veel meer onderzoek; we krabben nog maar aan het oppervlak van de hoeveelheid onderzoek die op dit kritieke gebied zou moeten worden uitgevoerd."

© 2018 Tech Xplore