微软帐号登录系统漏洞曝光:用户Office帐号受影响

  • 时间:
  • 浏览:0
  • 来源:贵州快3下注平台-贵州快3注册平台_贵州快3官网平台

北京时间12月12日下午消息,据美国科技媒体TechCrunch报道,当一系列漏洞串联在一块儿后都才能 构成完美的攻击以获得微软用户帐号的访问权限。简言之,本来欺骗用户点击某个链接。

印度“漏洞猎手”Sahad Nk率先发现微软的子域名“success.office.com”未正确配置,给了他接管该子域名的可乘之机。他利用CNAME记录——有三个 用于将有三个 域名链接到完后 域名的规范记录——来将未配置的子域名指向他个人的Azure实例。在TechCrunch于发布前获悉的一篇文章中,Nk表示,通过这名最好的方式,他都才能 接管该子域名,并劫持任何发送到该子域名的数据。

这名种生活 都在哪些地方大哪些地方的现象,但Nk还发现,当用户通过微软的Live登录系统登录让让让我门 的帐号后,微软的Office、Store和Sway等应用亦都才能 受骗将其身份验证登录指令发送他新近接管的域名。这是可能性哪些地方地方应用均使用有三个 通配符正则表达式,从而所有涵盖“office.com”字符的域名——包括他新接管的子域名——都能获得信任。

举例来说,一旦受害用户点击了电子邮件中发送的特殊链接,该用户将使用其用户名和密码通过微软的登录系统登录让让让我门 的帐号。获得帐号访问指令好比拥有某人的凭据——都才能 允许攻击者悄无声息地侵入该用户的帐号。

怎么让指示微软登录系统将帐号指令发送至Nk接管的子域名的恶意URL——若为恶意攻击者控制一句话,恐会致使无数帐号暴露于风险之下。最糟糕的是,恶意URL看上去详细正常——可能性用户仍然通过微软的系统进行登录,怎么让该URL中的“wreply”参数也没办法 疑点,可能性它确实是Office的有三个 子域名。

换句话说,恶意攻击者都才能 轻而易举地访问任何人的Office帐号——甚至企业和集团帐号,包括让让让我门 的邮件、文档和许多文件等,怎么让合法用户几乎无法辨识。

Nk在Paulos Yibelo的帮助下已向微软报告了该漏洞,后者可能性将漏洞修复,并为Nk的工作支付了漏洞赏金。