微軟登錄系統存在漏洞:用戶Office帳號受影響
據美國科技媒體TechCrunch報導,當一系列漏洞串聯在一起後可以構成完美的攻擊以獲得微軟用戶帳號的訪問權限。簡言之,就是欺騙用戶點擊某個鏈接。印度“漏洞獵手”Sahad Nk率先發現微軟的子域名“success.office.com”未正確配置,給了他接管該子域名的可乘之機。
他利用CNAME記錄——一個用於將一個鏈接到另一個域名的規範記錄——來將未配置的子域名指向他自己的Azure實例。在TechCrunch於發布前獲悉的一篇文章中,Nk表示,通過這種方式,他可以接管該子域名,並劫持任何發送到該子域名的數據。
這本身不是什麼大問題,但Nk還發現,當用戶通過微軟的Live登錄系統登錄他們的帳號後,微軟的Office、Store和Sway等應用亦可以受騙將其身份驗證登錄指令發送他新近接管的域名。這是因為這些應用均使用一個通配符正則表達式,從而所有包含“office.com”字符的域名——包括他新接管的子域名——都能獲得信任。
舉例來說,一旦受害用戶點擊了電子郵件中發送的特殊鏈接,該用戶將使用其用戶名和密碼通過微軟的登錄系統登錄他們的帳號。獲得帳號訪問指令好比擁有某人的憑據——可以允許攻擊者悄無聲息地侵入該用戶的帳號。
但是指示微軟登錄系統將帳號指令發送至Nk接管的子域名的惡意URL——若為惡意攻擊者控制的話,恐會致使無數帳號暴露於風險之下。最糟糕的是,惡意URL看上去完全正常——因為用戶仍然通過微軟的系統進行登錄,並且該URL中的“wreply”參數也沒有疑點,因為它確實是Office的一個子域名。
換句話說,惡意攻擊者可以輕而易舉地訪問任何人的Office帳號——甚至企業和集團帳號,包括他們的郵件、文檔和其他文件等,而且合法用戶幾乎無法辨識。
Nk在Paulos Yibelo的幫助下已向微軟報告了該漏洞,後者已經將漏洞修復,並為Nk的工作支付了漏洞賞金