Головна » Технології / Новини ІТ » Баг в системі Microsoft дозволяв зламати акаунти Office

Цілий ланцюжок помилок, які поєднані між собою, створив ідеальний спосіб отримання доступу до будь-якої обліківки Microsoft. Варто лиш схитрувати та змусити користувача клікнути по посиланню. Проблему виявив індійський «полювальник за помилками» з псевдонімом Sahad Nk. За його словами, піддомен success.office.com був налаштований неналежним чином, що дозволило йому перехопити адресу. Він зв’язав його зі своїм власним піддоменом та контролював всі дані, відправлені на нього.

Ми в соцмережах




Цей випадок не буде великою проблемою, але Sahad Nk також виявив, що програми Microsoft Office, Store та Sway можна обдурити, відправивши свої аутентифіковані токени для входу в новий підконтрольний домен, після того, як користувач ввійде в систему через Microsoft Live.

Нова версія Microsoft Edge підтримуватиме розширення Google Chrome

Microsoft запатентувала надтонку клавіатуру для Surface

Баг в системі Microsoft дозволяв зламати акаунти Office

Як це відбувається?

Наприклад жертва клікне на спеціально створене посилання в електронному листі. Ввійде в обліковий запис Microsoft використавши свої ім’я та пароль і, ймовірно, двофакторний код для підтвердження. Це створить токен із доступом до облікового запису користувача, завдяки якому не потрібно буде входити в систему щоразу при наступних сеансах. Отримання токена із доступом до облікового запису означає, що зловмисник зможе потрапити до вашого акаунта без натяку на злам як для Microsoft, так і для самого користувача. Це фактично подібні токени, які призвели до витоку даних понад 30 млн Facebook-користувачів цього року.

От тільки шкідливе посилання створюється таким чином, що якби воно контролювалося зловмисниками, то могло би піддати ризику незліченну кількість облікових записів. Найгірше те, що це шкідливе посилання виглядає цілком правдоподібно, оскільки користувач входить через систему Microsoft. Також «wreply» в URL-адресі також не викликає підозр, бо це піддомен Office.

Отже, зловмисники могли б отримати доступ до будь-яких обліківок Office, навіть до корпоративних, включно з електронною поштою, документами та іншими файлами. І це було б майже неможливо відрізнити від законного користувача. Цей індійський хакер зв’язався з Microsoft і компанія вже вирішила проблему, а також виплатила винагороду за допомогу.

Якщо Ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.
Поділитися:

Новини партнерів

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Яким месенджером Ви користуєтесь найчастіше?

Переглянути результати

E-mail розсилка Pingvin Pro

Якщо Ви хочете отримувати статті по e-mail, пропонуємо підписатися на нашу електронну розсилку. Просто введіть свій e-mail нижче та натисніть кнопку «Підписатися».

Схожі новини

Новини ІТ

Двоекранний смартфон Microsoft Surface Duo пройшов тест на міцність

Нещодавно компанія Microsoft запустила у продаж свій перший смартфон з двома екранами – Surface Duo. Коштує цей пристрій $ 1 399 або ≈ ₴ 39 430.  Характеристики у смартфона, як за таку ціну, доволі спірні. Наприклад, він не має NFC, бездротової зарядки та не підтримує мереж 5G. Ми в соцмережах YouTube позбавить користувачів чотирьох функцій […]


Новини ІТ

Microsoft випустила Windows 10 20H2

Наступне оновлення операційної системи, Windows 10 20H2 називатиметься «Оновлення за жовтень 2020 року». Стабільна збірка вже вийшла для тестувальників програми Windows Insider. Microsoft підтвердила, що Windows 10 October 2020 Update – це невелике оновлення. Основна увага у ньому приділяється новому меню «Пуск», поліпшенням з Alt-Tab, покращенням продуктивності тощо. Ми в соцмережах Microsoft видалила нову функцію з […]


Новини партнерів

Дякуємо!

Тепер редактори знають.