Micros of tW indows有一个有用的实用程序,通常有用户许可,自动将问题报告发送给公司进行分析。 但是一个安全供应商说,这些错误报告也可能泄露给那些能够制造特定攻击和破坏网络的人。
WebSenseInc.安全研究主管亚历克斯?沃森(Alex Watson)表示,Windows错误报告(又称Watson博士)将未加密的崩溃日志传输给微软,微软在各个系统上填写了“难以置信的详细信息”。
他在周一的一次采访中说:“这就像有一个实施攻击的人的蓝图。
该公司在上周末的一个博客中表示:“这些错误日志最终可以让窃听者找出易受攻击的端点,并在网络中站稳脚跟,进行更先进的渗透。
“崩溃对攻击者特别有用,因为它们可能为零日攻击找到一个新的可开发代码缺陷。
报告中的信息包括操作系统、服务包和更新版本,以及最近插入USB端口的设备的详细信息。
微软承认,管理员可以通过向网络上的计算机推送组策略来实现对自动错误报告的细粒度控制。
然而,它补充说:“我们的研究表明,默认情况下,许多组织正在通过Micros of t Error Report报告(在明文中)报告有关应用程序、服务和硬件的具体信息。 这些应用程序报告不仅限于崩溃,还包括失败的应用程序更新、USB设备插入等事件,在某些情况下甚至网络上的计算机之间的TCP超时-其中很大一部分是以HTTP明文发送的。
巧合的是,安全局已经截获并利用这些数据的可能性刚刚由德国的一份出版物提出。
在一封电子邮件中,微软[纳斯达克:MSFT]的发言人说,在传输Windows错误报告时,安全套接字层(SS L)连接是定期建立的。 “选择使用错误报告的客户发送的信息有限,例如,可能遇到问题的流程、应用程序或设备驱动程序。 然后对报告进行审查,并用于改进客户体验。 我们继续审查我们的加密技术和实践,并评论了我们继续进行的多项投资,在微软的问题博客上。 ”
韦伯森的沃森承认,该公司没有使用错误数据成功攻击的组织的案例研究,尽管他说证据很难找到。
WebSense建议组织遵循微软的建议,将其网络上的所有Windows错误报告(WER)流量重定向到内部服务器,使用组策略强制对所有遥测报告进行加密。