Исследователь в области кибербезопасности из Индии Сахад Нк обнаружил уязвимости, которые позволяли злоумышленникам взламывать любые учетные записи Microsoft. Отчет о найденных ошибках был опубликован на сайте компании-заказчика SafetyDetective.
Pixabay.com
Программист смог в семь шагов взломать поддомен success.office.com, принадлежащий Microsoft. Для этого ему даже не потребовалось подбирать пароли или атаковать аккаунты другим привычным способом. Хакер просто зашел со стороны компании-поставщика услуг. Так просто это оказалось благодаря тому, что поддомен был некорректно сконфигурирован.
Взятая под контроль часть домена участвует в процессе авторизации программ Microsoft-Outlook, Office и других. Поэтому для получения доступа к чужой учетной записи Сахад Нк просто мог бы послать жертве фишинговое письмо, которое не отсеялось бы спам-фильтром, потому что отправлено с адреса Microsoft. По этой же причине не насторожилась бы и жертва. После перехода по ссылке злоумышленнику открылся бы доступ к специальному токену для входа в аккаунт.
Исследование проводилось несколько месяцев назад, сейчас уязвимость устранена.