微軟登入系統出現漏洞,Office帳戶安全存在風險
【獵雲網(微信號:)】12月12日報道(編譯:福爾摩望)
據悉,微軟的登入系統出現了一連串的連結漏洞錯誤,黑客只需要欺騙使用者點選連結,就可以輕鬆訪問使用者的微軟帳戶。
來自印度的漏洞獵手Sahad Nk發現微軟的子域“success.office.com”沒有被正確配置。他使用CNAME記錄——一個用於將一個域連結到另一個域的規範記錄——將未配置的子域指向他自己的Azure例項。通過這一過程,他可以控制子域名,以及傳送給它的任何資料。
這本身並不是什麼大問題,但Nk還發現,當用戶通過微軟的Live登入系統登入後,可以欺騙Microsoft Office、Store和Sway應用,將其經過身份驗證的登入令牌傳送到他新控制的域名中。
這是因為易受攻擊的應用使用了萬用字元正則表示式,可以允許所有office.com——包括他新控制的子域名——被信任。
例如,一旦受害者點選電子郵件中傳送的特製連結,使用者將使用他們的使用者名稱和密碼通過微軟的登入系統登入,如果使用者設定了雙重認證,則會建立一個帳戶訪問令牌,讓使用者無需一次又一次地輸入密碼即可登入。獲取帳戶訪問令牌相當於擁有使用者的憑據,並允許攻擊者無縫地侵入該使用者的帳戶,通常也不會發出任何警報或觸發任何警告。(它們與今年早些時候讓超過3000萬Facebook帳戶面臨風險的帳戶令牌屬於同一類。)
但惡意URL則會指示微軟的登入系統將帳戶令牌傳遞給Nk的受控子域,如果該子域受到惡意攻擊者的控制,可能會使無數帳戶面臨風險。最糟糕的是,惡意URL看起來是合法的,因為使用者仍然通過微軟的系統登入,並且URL中的“wreply”引數看起來也並不可疑。
換句話說,任何人的Office帳戶,甚至企業和公司帳戶,包括他們的電子郵件、文件和其他檔案,都可以被惡意攻擊者輕鬆訪問,而且幾乎不可能從合法使用者中辨別出來。
在Paulos Yibelo的幫助下,Nk向微軟報告了這個漏洞,微軟迅速修復了這一問題。
“微軟安全響應中心在2018年11月完結了此案,”微軟發言人在一封電子郵件中證實了這一訊息。他解釋說,微軟通過刪除指向NK的Azure例項的CNAME記錄,修復了該錯誤。
微軟也向Nk支付了鉅額獎金。