Una serie de errores se encadenaron y crearon el ataque perfecto para obtener acceso a la cuenta de Microsoft de alguien, simplemente engañando a un usuario para que haga clic en un enlace.
Sahad Nk, un cazador de errores con base en la India, descubrió que un subdominio de Microsoft, «success.office.com», no se había configurado correctamente, lo que le permitió asumirlo. Utilizó un registro CNAME, un registro canónico que se utiliza para vincular un dominio con otro, para señalar el subdominio no configurado a su propia instancia de Azure. Al hacerlo, controló el subdominio y todos los datos que se le enviaron, dijo en un artículo escrito, compartido con TechCrunch.
no posts foundNk también descubrió que las aplicaciones Microsoft Office, Store y Sway podrían ser engañadas para que envíen sus tokens de inicio de sesión autenticados a su dominio recién controlado después de que un usuario inicie sesión a través del sistema de inicio de sesión de Microsoft. Esto se debe a que las aplicaciones vulnerables utilizan una expresión regular de comodín, lo que permite que todos los office.com, incluido su subdominio recién controlado, sean de confianza.
Una vez que la víctima hace clic en un enlace especialmente diseñado que se envía en un correo electrónico, por ejemplo, el usuario iniciará sesión a través del sistema de inicio de sesión de Microsoft utilizando su nombre de usuario y contraseña, y el código de dos factores, si está configurado, lo que creará un token de acceso a la cuenta para mantener el inició sesión sin tener que ingresar su contraseña una y otra vez. Obtener un token de acceso a la cuenta es el equivalente a tener las credenciales de alguien, y permite que un atacante ingrese la cuenta de ese usuario sin interrupciones, a menudo sin activar alarmas ni activar advertencias.
Pero la URL maliciosa está diseñada de una manera que instruye al sistema de inicio de sesión de Microsoft para que pase el token de la cuenta al subdominio controlado de Nk, que, si estuviera controlado por un atacante malicioso, podría haber puesto en peligro innumerables cuentas. Y lo que es peor, la URL maliciosa parece legítima, porque el usuario aún se registra a través de los sistemas de Microsoft y el parámetro «wreply» en la URL tampoco parece sospechoso porque es un subdominio de Office.
En otras palabras, un atacante malicioso podría haber accedido fácilmente a las cuentas de Office de cualquier persona, incluso a las cuentas corporativas y corporativas, incluidos sus correos electrónicos, documentos y otros archivos, y habría sido casi imposible distinguirlo de un usuario legítimo.
Nk, con la ayuda de Paulos Yibelo, informó el error a Microsoft, que solucionó la vulnerabilidad.
«El Centro de respuesta de seguridad de Microsoft mitigó el caso en noviembre de 2018″, confirmó un portavoz de Microsoft en un correo electrónico a TechCrunch. El error se corrigió al eliminar el registro CNAME que apunta a la instancia de Azure de Nk, explicó.
Microsoft pagó una recompensa por el apoyo de Nk.
