Цілий ланцюжок помилок, які поєднані між собою, створив ідеальний спосіб отримання доступу до будь-якої обліківки Microsoft. Варто лиш схитрувати та змусити користувача клікнути по посиланню. Проблему виявив індійський «полювальник за помилками» з псевдонімом Sahad Nk. За його словами, піддомен success.office.com був налаштований неналежним чином, що дозволило йому перехопити адресу. Він зв’язав його зі своїм власним піддоменом та контролював всі дані, відправлені на нього.
Цей випадок не буде великою проблемою, але Sahad Nk також виявив, що програми Microsoft Office, Store та Sway можна обдурити, відправивши свої аутентифіковані токени для входу в новий підконтрольний домен, після того, як користувач ввійде в систему через Microsoft Live.
Нова версія Microsoft Edge підтримуватиме розширення Google Chrome
Як це відбувається?
Наприклад жертва клікне на спеціально створене посилання в електронному листі. Ввійде в обліковий запис Microsoft використавши свої ім’я та пароль і, ймовірно, двофакторний код для підтвердження. Це створить токен із доступом до облікового запису користувача, завдяки якому не потрібно буде входити в систему щоразу при наступних сеансах. Отримання токена із доступом до облікового запису означає, що зловмисник зможе потрапити до вашого акаунта без натяку на злам як для Microsoft, так і для самого користувача. Це фактично подібні токени, які призвели до витоку даних понад 30 млн Facebook-користувачів цього року.
От тільки шкідливе посилання створюється таким чином, що якби воно контролювалося зловмисниками, то могло би піддати ризику незліченну кількість облікових записів. Найгірше те, що це шкідливе посилання виглядає цілком правдоподібно, оскільки користувач входить через систему Microsoft. Також «wreply» в URL-адресі також не викликає підозр, бо це піддомен Office.
Отже, зловмисники могли б отримати доступ до будь-яких обліківок Office, навіть до корпоративних, включно з електронною поштою, документами та іншими файлами. І це було б майже неможливо відрізнити від законного користувача. Цей індійський хакер зв’язався з Microsoft і компанія вже вирішила проблему, а також виплатила винагороду за допомогу.