Microsoft ha solucionado una vulnerabilidad en su sistema de inicio de sesión, que los investigadores de seguridad dicen que podría haber sido utilizada para engañar a las personas para que otorguen acceso completo a sus cuentas en línea.
El error permitió a los atacantes robar silenciosamente tokens de cuenta, que los sitios web y las aplicaciones utilizan para otorgar a los usuarios acceso a sus cuentas sin tener que volver a ingresar sus contraseñas constantemente. Estos tokens son creados por una aplicación o un sitio web en lugar de un nombre de usuario y contraseña después de que un usuario inicia sesión. Eso mantiene al usuario conectado permanentemente al sitio, pero también permite a los usuarios acceder a aplicaciones y sitios web de terceros sin tener que entregar directamente sus contraseñas
Investigadores de la compañía israelí de ciberseguridad CyberArk descubrieron que Microsoft dejó abierta una escapatoria accidental que, si se explotaba, podría usarse para desviar estos tokens de cuenta utilizados para acceder a la cuenta de la víctima, potencialmente sin alertar al usuario.
La última investigación de CyberArk encontró docenas de subdominios no registrados conectados a un puñado de aplicaciones creadas por Microsoft. Estas aplicaciones internas son altamente confiables y, como tal, los subdominios asociados se pueden usar para generar tokens de acceso automáticamente sin requerir ningún consentimiento explícito del usuario.
Con los subdominios en la mano, todo lo que un atacante necesitaría es engañar a una víctima desprevenida para que haga clic en un enlace especialmente diseñado en un correo electrónico o en un sitio web, y el token puede ser robado.
En algunos casos, dijeron los investigadores, esto podría hacerse de una manera de «clic cero», que como su nombre indica casi no requiere interacción del usuario. Un sitio web malicioso que oculta una página web incrustada podría activar silenciosamente la misma solicitud que un enlace en un correo electrónico malicioso para robar el token de la cuenta de un usuario.
Afortunadamente, los investigadores registraron muchos de los subdominios que pudieron encontrar en las aplicaciones vulnerables de Microsoft para evitar cualquier mal uso malicioso, pero advirtieron que podría haber más.
La falla de seguridad se informó a Microsoft a fines de octubre y se corrigió tres semanas después.
«Resolvimos el problema con las aplicaciones mencionadas en este informe en noviembre y los clientes permanecen protegidos», dijo un portavoz de Microsoft.
Deja un comentario