據美國科技媒體TechCrunch報導,當一系列漏洞串聯在一起後可以構成完美的攻擊以獲得微軟使用者帳號的訪問許可權。簡言之,就是欺騙使用者點選某個連結。 印度“漏洞獵手”Sahad Nk率先發現微軟的子域名“success.office.com”未正確配置,給了他接管該子域名的可乘之機。
他利用CNAME記錄——一個用於將一個域名連結到另一個域名的規範記錄——來將未配置的子域名指向他自己的Azure例項。在TechCrunch於釋出前獲悉的一篇文章中,Nk表示,通過這種方式,他可以接管該子域名,並劫持任何傳送到該子域名的資料。
這本身不是什麼大問題,但Nk還發現,當使用者通過微軟的Live登入系統登入他們的帳號後,微軟的Office、Store和Sway等應用亦可以受騙將其身份驗證登入指令傳送他新近接管的域名。這是因為這些應用均使用一個萬用字元正規表示式,從而所有包含“office.com”字元的域名——包括他新接管的子域名——都能獲得信任。
舉例來說,一旦受害使用者點選了電子郵件中傳送的特殊連結,該使用者將使用其使用者名稱和密碼通過微軟的登入系統登入他們的帳號。獲得帳號訪問指令好比擁有某人的憑據——可以允許攻擊者悄無聲息地侵入該使用者的帳號。
但是指示微軟登入系統將帳號指令傳送至Nk接管的子域名的惡意URL——若為惡意攻擊者控制的話,恐會致使無數帳號暴露於風險之下。最糟糕的是,惡意URL看上去完全正常——因為使用者仍然通過微軟的系統進行登入,並且該URL中的“wreply”引數也沒有疑點,因為它確實是Office的一個子域名。
換句話說,惡意攻擊者可以輕而易舉地訪問任何人的Office帳號——甚至企業和集團帳號,包括他們的郵件、文件和其他檔案等,而且合法使用者幾乎無法辨識。
Nk在Paulos Yibelo的幫助下已向微軟報告了該漏洞,後者已經將漏洞修復,併為Nk的工作支付了漏洞賞金。
來源:新浪科技
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。