行业资讯

最新动态实时播报

微软登录系统存在漏洞:用户Office帐号受影响 2018-12-12

据美国科技媒体TechCrunch报道,当一系列漏洞串联在一起后可以构成完美的攻击以获得微软用户帐号的访问权限。简言之,就是欺骗用户点击某个链接。

  

印度“漏洞猎手”Sahad Nk率先发现微软的子域名“success.office.com”未正确配置,给了他接管该子域名的可乘之机。他利用CNAME记录——一个用于将一个域名链接到另一个域名的规范记录——来将未配置的子域名指向他自己的Azure实例。在TechCrunch于发布前获悉的一篇文章中,Nk表示,通过这种方式,他可以接管该子域名,并劫持任何发送到该子域名的数据。

 

 这本身不是什么大问题,但Nk还发现,当用户通过微软的Live登录系统登录他们的帐号后,微软的Office、Store和Sway等应用亦可以受骗将其身份验证登录指令发送他新近接管的域名。这是因为这些应用均使用一个通配符正则表达式,从而所有包含“office.com”字符的域名——包括他新接管的子域名——都能获得信任。

  

举例来说,一旦受害用户点击了电子邮件中发送的特殊链接,该用户将使用其用户名和密码通过微软的登录系统登录他们的帐号。获得帐号访问指令好比拥有某人的凭据——可以允许攻击者悄无声息地侵入该用户的帐号。