События

Уязвимость в сервисах Microsoft позволяла взломать любую учетную запись

Индийский исследователь безопасности Сахад Нк (Sahad Nk) обнаружил несколько уязвимостей, позволяющих злоумышленникам взломать учетные записи пользователей сервисов Microsoft, начиная от Office и заканчивая Outlook.

Проводя исследование для сайта SafetyDetective, исследователь смог захватить контроль над поддоменом компании Microsoft (success.office.com). Благодаря неправильной конфигурации поддомена Нк удалось настроить web-приложение Azure, указывавшее на запись CNAME поддомена. Таким образом он не только получил контроль над success.office.com, но также смог получать все отправляемые ему данные.

Далее в игру вступила вторая уязвимость. Приложения Microsoft Office, Outlook, Store и Sway отправляют поддомену success.office.com токены авторизации. Когда пользователь авторизовался в Microsoft Live, сервис login.live.com отправлял токен прямиком на подконтрольный исследователю сервер. Нк было достаточно лишь отправить жертве электронное письмо с ссылкой, после нажатия на которую в его руках оказался бы действительный токен сеанса. В таком случае для взлома учетной записи не понадобилось бы ни имя пользователя, ни пароль.

Поскольку у исследователя был доступ со стороны Microsoft, отправленная жертве ссылка была бы представлена в виде URL-адреса login.live.com, что позволило бы ей обойти спам-фильтры и защиту от фишинга.

Исследователь сообщил Microsoft об уязвимости еще в июне нынешнего года, однако компания исправила ее лишь в ноябре.

Источник

Автор: Сергей Куприянов
13.12.2018 (13:16)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.