北京時(shí)間12月12日下午消息,據(jù)美國(guó)科技媒體TechCrunch報(bào)道,當(dāng)一系列漏洞串聯(lián)在一起后可以構(gòu)成完美的攻擊以獲得微軟用戶(hù)帳號(hào)的訪問(wèn)權(quán)限。簡(jiǎn)言之,就是欺騙用戶(hù)點(diǎn)擊某個(gè)鏈接。
印度“漏洞獵手”Sahad Nk率先發(fā)現(xiàn)微軟的子域名“success.office.com”未正確配置,給了他接管該子域名的可乘之機(jī)。他利用CNAME記錄——一個(gè)用于將一個(gè)域名鏈接到另一個(gè)域名的規(guī)范記錄——來(lái)將未配置的子域名指向他自己的Azure實(shí)例。在TechCrunch于發(fā)布前獲悉的一篇文章中,Nk表示,通過(guò)這種方式,他可以接管該子域名,并劫持任何發(fā)送到該子域名的數(shù)據(jù)。
這本身不是什么大問(wèn)題,但Nk還發(fā)現(xiàn),當(dāng)用戶(hù)通過(guò)微軟的Live登錄系統(tǒng)登錄他們的帳號(hào)后,微軟的Office、Store和Sway等應(yīng)用亦可以受騙將其身份驗(yàn)證登錄指令發(fā)送他新近接管的域名。這是因?yàn)檫@些應(yīng)用均使用一個(gè)通配符正則表達(dá)式,從而所有包含“office.com”字符的域名——包括他新接管的子域名——都能獲得信任。
舉例來(lái)說(shuō),一旦受害用戶(hù)點(diǎn)擊了電子郵件中發(fā)送的特殊鏈接,該用戶(hù)將使用其用戶(hù)名和密碼通過(guò)微軟的登錄系統(tǒng)登錄他們的帳號(hào)。獲得帳號(hào)訪問(wèn)指令好比擁有某人的憑據(jù)——可以允許攻擊者悄無(wú)聲息地侵入該用戶(hù)的帳號(hào)。
但是指示微軟登錄系統(tǒng)將帳號(hào)指令發(fā)送至Nk接管的子域名的惡意URL——若為惡意攻擊者控制的話(huà),恐會(huì)致使無(wú)數(shù)帳號(hào)暴露于風(fēng)險(xiǎn)之下。最糟糕的是,惡意URL看上去完全正?!?yàn)橛脩?hù)仍然通過(guò)微軟的系統(tǒng)進(jìn)行登錄,并且該URL中的“wreply”參數(shù)也沒(méi)有疑點(diǎn),因?yàn)樗_實(shí)是Office的一個(gè)子域名。
換句話(huà)說(shuō),惡意攻擊者可以輕而易舉地訪問(wèn)任何人的Office帳號(hào)——甚至企業(yè)和集團(tuán)帳號(hào),包括他們的郵件、文檔和其他文件等,而且合法用戶(hù)幾乎無(wú)法辨識(shí)。
Nk在Paulos Yibelo的幫助下已向微軟報(bào)告了該漏洞,后者已經(jīng)將漏洞修復(fù),并為Nk的工作支付了漏洞賞金。
廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。