• Вы находитесь тут:
  • Bad Android
  • Новости
  • Обнаружена дыра позволявшая взломать аккаунты Microsoft

Обнаружена дыра позволявшая взломать аккаунты Microsoft

Целая цепочка ошибок, которые соединены между собой, создали идеальный способ получения доступа к любой учетной записи Microsoft.

Дырище Microsoft

Стоит лишь схитрить и заставить пользователя кликнуть по ссылке. Проблему обнаружил индийский «охотник за ошибками» с псевдонимом Sahad Nk. По его словам, поддомен success.office.com был настроен ненадлежащим образом, что позволило ему перехватить адрес. Он связал его со своим собственным поддоменом и контролировал все данные, отправленные на него.

Этот случай не будет большой проблемой, но Sahad Nk также обнаружил, что программы Microsoft Office, Store и Sway можно обмануть, отправив свои аутентифицированные токены для входа в новый подконтрольный домен, после того, как пользователь войдет в систему через Microsoft Live.

Как это происходит?

Например жертва кликнет на специально созданную ссылку в электронном письме. Войдет в учетную запись Microsoft использовав свои имя и пароль и, вероятно, двофакторний код для подтверждения. Это создаст токен с доступом к учетной записи пользователя, благодаря которому не нужно будет входить в систему каждый раз при последующих сеансах.

Получение токена с доступом к учетной записи означает, что злоумышленник сможет попасть к вашему аккаунту без намека на излом как для Microsoft, так и для самого пользователя. Это фактически подобные токены, которые привели к утечке данных более 30 млн Facebook-пользователей в этом году.

Вот только вредоносные ссылки создаются таким образом, что если бы оно контролировалось злоумышленниками, то могло бы подвергнуть риску бесчисленное количество учетных записей. Хуже всего то, что ссылка выглядит вполне правдоподобно, поскольку пользователь входит через систему Microsoft. Также «wreply» в URL-адресе также не вызывает подозрений, потому что это поддомен Office.

Следовательно, злоумышленники могли бы получить доступ к любым учеткам Office, даже корпоративных, включительно с электронной почтой, документами и другими файлами. И это было бы почти невозможно отличить от законного пользователя.

Индийский хакер связался с Microsoft и компания уже решила проблему, а также выплатила вознаграждение за помощь.

Outlook. Мобильное приложение и веб-версия Обучение для пользователей Office 365

0

Комментарии


Чтобы оставить комментарий, пожалуйста, авторизируйтесь!
  • Вы находитесь тут:
  • Bad Android
  • Новости
  • Обнаружена дыра позволявшая взломать аккаунты Microsoft
  • Вы находитесь тут:
  • Bad Android
  • Новости
  • Обнаружена дыра позволявшая взломать аккаунты Microsoft