Support us

Баг Microsoft делал уязвимыми все пользовательские аккаунты Office. Багхантеру уже заплатили

Оставить комментарий
Баг Microsoft делал уязвимыми все пользовательские аккаунты Office. Багхантеру уже заплатили

Ряд багов создавали возможность для лёгкого взлома любого аккаунта Microsoft при переходе пользователем по высланной хакерами ссылке, пишет TechCrunch.

Индийский исследователь безопасности Сахад Ынк обнаружил несколько ошибок конфигурации субдомена success.office.com, которые делали его уязвимым для хакеров. Любой частный или корпоративный аккаунт Office, включая переписку, документы и файлы, мог оказаться в руках злоумышленников, которых было бы почти невозможно распознать.

С помощью CNAME-записи — псевдонима для связи хоста с какой-либо функцией — специалист настроил субдомен на своё веб-приложение Azure и получил полный контроль над ним и любыми пересылаемыми на него данными.

Сама по себе уязвимость не представляла бы большой проблемы, если бы не другой баг. Приложения Microsoft Office, Store и Sway можно было заставить пересылать токены аутентификации на новый домен после того, как пользователь входил в аккаунт через систему Live. Это объясняется тем, что все уязвимые приложения «доверяли» любым доменам office.com, включая поддельные контролируемые субдомены.

После нажатия на внешне безобидную ссылку — полученную, например, по электронной почте, — пользователь авторизовывался в системе Microsoft, используя свои логин и пароль (или же двухфакторный код). Далее создавался токен для доступа к аккаунту, а пользователь постоянно оставался в системе без необходимости заново вводить пароль. Получив токены, хакеры могли бы беспрепятственно и не поднимая тревоги взламывать аккаунты своих жертв.

Microsoft уже исправила уязвимость и выплатила вознаграждение исследователю безопасности.

16 лет dev.by — «дефолтный» источник информации о беларусском ИТ

Вы можете...

Читайте также
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
1 комментарий
Instagram оштрафовали на рекордную сумму за неправильную обработку данных подростков
Instagram оштрафовали на рекордную сумму за неправильную обработку данных подростков
Instagram оштрафовали на рекордную сумму за неправильную обработку данных подростков
2 комментария
Microsoft запустила обучающий сайт по Java
Microsoft запустила обучающий сайт по Java
Microsoft запустила обучающий сайт по Java
1 комментарий
Маск требует отсрочки суда с Twitter. Его юристы меняют тактику обвинения
Маск требует отсрочки суда с Twitter. Его юристы меняют тактику обвинения
Маск требует отсрочки суда с Twitter. Его юристы меняют тактику обвинения

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.