Szerző: Hlács Ferenc

2018. december 13. 09:30:00

Jogosulatlan belépést tett lehetővé egy Microsoft bug

A biztonsági rés a belépési tokeneket szolgáltatta ki egy preparált linken keresztül.

Fájdalmas biztonsági hibára bukkant egy indiai bugvadász, amellyel át tudta venni az uralmat a felhasználók Microsoft-fiókjai felett, legalábbis, ha azok lekattintottak egy megfelelően preparált hivatkozást. A Sahad Nk néven ismert szakértő a bugról a TechCrunch-nak számolt be, eszerint valójában két sérülékenységről van szó, amelyek összefűzve vehetők rá a gyanútlan felhasználók fiókjainak kiszolgáltatására.

Az első sebezhetőség a redmondi óriás egyik aldoménján bukkant fel. A success.office.com a Microsoft Azure Web App szolgáltatásra mutatott, amelyen már egy ideje nem volt aktív szolgáltatás elérhető. Ez lehetővé tette, hogy a kutató egy CNAME rekorddal saját, regisztrált Azure webappjához kösse a hivatkozást, átvéve az uralmat a domén felett.

mshq

A lánc a Microsoft Outlook, Store, illetve a Sway sérülékenységével folytatódott, amelyek az említett success.office.com-ot hiteles wreply URL-ként kezelték belépési tokenek fogadására - legalábbis a login.live.com-os sikeres bejelentkezést követően. A Microsoft rendszere tehát akkor is hitelesként kezelte az immár eltérített oldalt, ha a bejelentkeztetést a felhasználó az outlook.com vagy sway.com oldalakról kezdte meg - a folyamat közben pedig a belépési tokeneket a közbeiktatott oldal mögött dolgozó, külső szerverre szivárogtatta. Ezek birtokában a támadók a felhasználónév-jelszó páros ismerete, vagy épp a két faktoros azonosítás végigzongorázása nélkül is beléphettek a célba vett felhasználó fiókjába.

Mindehhez persze arra is szükség volt, hogy a célszemély lekattintsa a potenciális támadók uralma alá hajtott oldalra vezető hivatkozást, ez azonban a megfelelő manipulációs technikákkal sajnos aránylag könnyen kivitelezhető, főleg hogy a link ránézésre még legitimnek is tűnik, miután a Microsoft rendszerén visz keresztül. A sebezhetőség a magán és vállalti fiókokat egyaránt érintette, az akár online tárolt fájljaikhoz, levelezésükhöz és egyéb érzékeny adataikhoz is hozzáférést adhatott. Az illetéktelen belépések ráadásul nem is keltettek (volna) feltűnést, hiszen hiteles tokeneket használtak.

A szakértő a SafetyDetective információi szerint júniusban jelezte a hibákat a Microsoft felé, a vállalat ugyanakkor nem siette el a javítást, november végén foltozta csak be azokat - a lefülelt bugokért mindenesetre Sahad Nk megkapta a cég bug bounty programjában megjelölt fejpénzt.

a címlapról