微軟登錄系統存在漏洞:用戶Office帳號受影響
2024-09-29 02:51:11
據外媒TechCrunch報導, 印度的「漏洞獵手」Sahad Nk是第一個發現微軟的子域名「success.office.com」未正確配置的人,他利用這一漏洞欺騙用戶點擊這個連結,來獲得微軟用戶帳號的訪問權限。
他利用CNAME記錄,即一個用於將一個域名連結到另一個域名的規範記錄,來將未配置的子域名指向他自己的Azure實例。Nk表示,通過這種方式,他可以接管該子域名,並劫持任何發送到該子域名的數據。
這本身不是什麼大問題,但Nk還發現,因為Office、Store和Sway這些應用均使用一個通配符正則表達式,所以當用戶通過微軟的Live登錄系統登錄時,這些應用也會錯把用戶的身份驗證登錄指令發送他新近接管的域名中。
惡意攻擊者可以這個方式輕而易舉地訪問任何人的Office帳號,甚至企業和集團帳號,包括他們的郵件、文檔和其他文件等,而且合法用戶幾乎無法辨識。
目前,Nk在Paulos Yibelo的幫助下已向微軟報告了該漏洞。微軟也已經將漏洞修復,並為Nk的工作支付了漏洞賞金。
本文編輯:陸添智
