微軟登錄系統(tǒng)出現(xiàn)漏洞,Office帳戶安全存在風(fēng)險
據(jù)悉,微軟的登錄系統(tǒng)出現(xiàn)了一連串的鏈接漏洞錯誤,黑客只需要欺騙用戶點擊鏈接,就可以輕松訪問用戶的微軟帳戶。
來自印度的漏洞獵手Sahad Nk發(fā)現(xiàn)微軟的子域“success.office.com”沒有被正確配置。他使用CNAME記錄——一個用于將一個域鏈接到另一個域的規(guī)范記錄——將未配置的子域指向他自己的Azure實例。通過這一過程,他可以控制子域名,以及發(fā)送給它的任何數(shù)據(jù)。
這本身并不是什么大問題,但Nk還發(fā)現(xiàn),當(dāng)用戶通過微軟的Live登錄系統(tǒng)登錄后,可以欺騙Microsoft Office、Store和Sway應(yīng)用,將其經(jīng)過身份驗證的登錄令牌發(fā)送到他新控制的域名中。
這是因為易受攻擊的應(yīng)用使用了通配符正則表達式,可以允許所有office.com——包括他新控制的子域名——被信任。
例如,一旦受害者點擊電子郵件中發(fā)送的特制鏈接,用戶將使用他們的用戶名和密碼通過微軟的登錄系統(tǒng)登錄,如果用戶設(shè)置了雙重認證,則會創(chuàng)建一個帳戶訪問令牌,讓用戶無需一次又一次地輸入密碼即可登錄。獲取帳戶訪問令牌相當(dāng)于擁有用戶的憑據(jù),并允許攻擊者無縫地侵入該用戶的帳戶,通常也不會發(fā)出任何警報或觸發(fā)任何警告。(它們與今年早些時候讓超過3000萬Facebook帳戶面臨風(fēng)險的帳戶令牌屬于同一類。)
但惡意URL則會指示微軟的登錄系統(tǒng)將帳戶令牌傳遞給Nk的受控子域,如果該子域受到惡意攻擊者的控制,可能會使無數(shù)帳戶面臨風(fēng)險。最糟糕的是,惡意URL看起來是合法的,因為用戶仍然通過微軟的系統(tǒng)登錄,并且URL中的“wreply”參數(shù)看起來也并不可疑。
換句話說,任何人的Office帳戶,甚至企業(yè)和公司帳戶,包括他們的電子郵件、文檔和其他文件,都可以被惡意攻擊者輕松訪問,而且?guī)缀醪豢赡軓暮戏ㄓ脩糁斜鎰e出來。
在Paulos Yibelo的幫助下,Nk向微軟報告了這個漏洞,微軟迅速修復(fù)了這一問題。
“微軟安全響應(yīng)中心在2018年11月完結(jié)了此案!蔽④洶l(fā)言人在一封電子郵件中證實了這一消息。他解釋說,微軟通過刪除指向NK的Azure實例的CNAME記錄,修復(fù)了該錯誤。
微軟也向Nk支付了巨額獎金。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市