- A+
发现错误的调查员将获得公司的奖励
来自印度的数字取证专家Sahad Nk和网络安全公司的合作伙伴Sahad Nk因微软账户中发现并报告了一系列关键漏洞而获得了微软的奖励,作为该公司错误报告计划的一部分。
根据国际网络安全研究所的数字取证专家的说法,这些漏洞存在于用户的Microsoft帐户中,从Office文件到Outlook电子邮件。 换句话说,各种微软帐户(超过4亿)和各种数据都暴露在黑客攻击中。 如果链接,bug将成为访问任何用户的Microsoft帐户的完美攻击媒介; 所有攻击者都需要用户点击链接。
根据Sahad Nk发布的报告,Microsoft子域(success.office.com)未正确配置,允许它使用CNAME记录进行控制,CNAME记录是将一个域连接到另一个域的记录。 使用该日志,Sahad能够找到配置不当的子域并将其链接到他的个人Azure实例,以完全控制子域及其所有数据。
虽然这本身看起来已经很严重,但微软面临的真正问题是,当用户登录其Microsoft帐户时,Office,Sway和Store的应用程序可能会相对轻松地将其登录令牌转移到其他域以控制可能的攻击者。 。
一旦受害者与通过电子邮件收到的特别设计的链接进行交互,它就会登录到Microsoft Live注册系统。 当受害者输入其用户名,密码和2FA代码(如果启用)时,将生成帐户访问令牌,允许用户登录而无需重新输入其凭据。
数字取证专家提到,如果有人获得此访问令牌,就像获取用户凭证一样。 因此,攻击者可以轻松进入帐户,而无需提醒原始所有者或向Microsoft提醒未经授权的访问。
恶意链接的设计方式强制Microsoft登录系统将帐户令牌转移到受控子域。 在这种情况下,子域由Sahad控制; 但是,如果恶意攻击者控制它,则可能会使大量Microsoft帐户面临风险。 最令人不安的是,恶意链接似乎是真实的,因为用户仍在通过合法的Microsoft登录系统进入。
微软收到报告后不久就纠正了这个漏洞; 公司给予专家的奖金金额未透露。
