Chyba v prihlasovacom systéme Microsoftu umožnila zneužitie akéhokoľvek Office účtu. Chyba bola ihneď odstránená
Séria novoobjavených reťazových bugov na stránkach Microsoft Office umožnila vytvorenie masívneho útoku, vďaka ktorému sa podarilo odcudziť hneď niekoľko účtov po celom svete.
Sahad Nk , indický chýb, zistil, že subdoména spoločnosti Microsoft “ success.office.com “ nebola správne nakonfigurovaná, čo mu umožnilo ju napadnúť.
Útočníci by mohli použiť záznam CNAME, kanonický záznam, ktorý slúži na prepojenie jednej domény s iným čo spôsobí nasmerovanie nekonfigurovanej subdomény na svoju vlastnú Azure inštanciu.
Pritom však dokáže riadiť subdoménu – a získať akékoľvek údaje, ktoré jej boli zaslané.
To by samo o sebe nebol až taký problém, ale Nk tiež zistil, že aplikácie Microsoft Office, Store a Sway môžu byť „oklamané“, ak sa po prihlásení používateľom prostredníctvom prihlasovacieho systému Microsoft Live prihlásia svoje overené prihlasovacie tokeny do svojej novo kontrolovanej domény.
Hackerovi stačí prístup ku prihlasovaciemu tokenu
Keď obeť klikne na špeciálne vytvorený odkaz odoslaný v e-maile, napríklad keď sa používateľ prihlási cez prihlasovací systém spoločnosti Microsoft pomocou svojho používateľského mena a hesla poprípade dvojfaktorovej autentifikácie, čím vytvorí prístupový token pre prístup k účtu používateľa bez nutnosti sa znova prihlasovať. Získanie prístupového tokenu k účtu je ekvivalentom zadania poverenia niekoho – a umožňuje útočníkovi bezproblémovo preniknúť do účtu daného používateľa, často bez vyvolania akýchkoľvek upozornení.
Neprehliadnite
Škodlivá adresa URL je vytvorená spôsobom, ktorý poukazuje na prihlasovací systém spoločnosti Microsoft a odovzdávaniu účtu do kontrolovanej subdomény a ak by bola kontrolovaná útočníkom, mohla by ohroziť nespočetné množstvo účtov.
Inými slovami: Účet ktorejkoľvek kancelárie, vrátane e-mailov, dokumentov a iných súborov, mohli byť ľahko poškodené alebo odcudzené útočníkom a bolo by takmer nemožné ho odlíšiť od legitímneho používateľa.
Chyba bola obratom odstránená
“ Centrum zabezpečenia Microsoft Security Response sa zameralo na prípad v novembri 2018 „, potvrdil hovorca spoločnosti Microsoft e-mailom portálu TechCrunch. Chyba bola vyriešená odstránením záznamu CNAME, ktorý nasmerovával na inštanciu, vysvetľuje Nk.
Zdroj: safetydetective.com Via techcrunch.com, úvodný obrázok (vlastný)
Komentáre