Una serie di bug hanno permesso di creare l'attacco perfetto per accedere all'account Microsoft di qualsiasi utente, semplicemente inducendo un utente a fare clic su un link.
Sahad Nk, un cacciatore di bug situato in India, ha scoperto che un sottodominio Microsoft, "success.office.com", non era stato configurato correttamente, permettendogli di prenderlo in consegna. Ha utilizzato un record CNAME, un record canonico utilizzato per collegare un dominio a un altro, per indirizzare il sottodominio non configurato alla propria istanza di Azure. Nel fare ciò, ha controllato il sottodominio e tutti i dati inviati.
Questo non sarebbe stato un problema da solo, ma Nk ha anche scoperto che le app di Microsoft Office, Store e Sway potevano essere ingannate per inviare i loro token di accesso autenticati al suo dominio appena controllato dopo che un utente si connetteva tramite il sistema di accesso di Live di Microsoft.
Questo perché le app vulnerabili utilizzano una regex con caratteri jolly, consentendo a tutti i office.com, incluso il sottodominio di nuova generazione, di essere considerati attendibili.
Una volta che la vittima fa clic su un collegamento appositamente predisposto inviato tramite e-mail, ad esempio, l'utente effettuerà l'accesso tramite il sistema di accesso di Microsoft utilizzando il nome utente e la password e il codice a due fattori, se impostato, che crea un token di accesso all'account per mantenere l'utente ha effettuato l'accesso senza dover inserire nuovamente la password. Ottenere un token di accesso all'account equivale ad avere le credenziali di qualcuno e consentire a un utente malintenzionato di entrare nell'account dell'utente senza problemi, spesso senza generare allarmi o attivare alcun avviso. (Sono lo stesso tipo di gettoni conto che hanno messo a rischio oltre 30 milioni di account Facebook all'inizio di quest'anno).
Ma l'URL malevolo è realizzato in modo tale da indicare al sistema di accesso di Microsoft di passare il token dell'account al sottodominio controllato di Nk, il che, se controllato da un malintenzionato, potrebbe mettere a rischio innumerevoli account. Peggio ancora, l'URL dannoso sembra legittimo, perché l'utente accede ancora attraverso i sistemi di Microsoft e anche il parametro "wreply" nell'URL non sembra sospetto perché è un sottodominio di Office.
In altre parole: l'account di Office di chiunque - anche gli account aziendali e aziendali, inclusi i loro messaggi di posta elettronica, documenti e altri file, potevano essere facilmente accessibili da un malintenzionato - e sarebbe stato quasi impossibile discernere da un utente legittimo.
Nk, con l'aiuto di Paulos Yibelo, ha segnalato il bug a Microsoft, che ha risolto la vulnerabilità.
"Il Microsoft Security Response Center ha attenuato il caso nel novembre 2018", ha confermato un portavoce di Microsoft in un'email a TechCrunch. L'errore è stato risolto rimuovendo il record CNAME che puntava all'istanza di Azure di Nk, ha spiegato.
Microsoft ha pagato una taglia del bug per gli sforzi di Nk.
