Güvenlik Açıkları

Microsoft’un Hatası Office Hesaplarını Tehlikeye Attı

Microsoft’un giriş sisteminde oluşan bir zaafiyetten dolayı başka birinin Office hesabını ele geçirmek çok kolay hale geldi.

Hindistanlı bir bug hunter olan Sahad Nk, “ success.office.com ” adlı bir Microsoft alt etki alanının düzgün bir şekilde yapılandırılmamış olduğunu ve onu ele geçirmesine izin verdiğini keşfetti .

Yapılandırılmamış alt alanın kendine Azure örneğine işaret etmesi için bir alan adını diğerine bağlamak için kullanılan bir CNAME kaydı, bir kurallı kayıt kullandığını söyledi.
Bu durumun kendi başına bir problem olmadığını ancak Microsoft Office, Store ve Sway uygulamalarının bir kullanıcının Microsoft’un Live Login sistemi üzerinden giriş yapmasına ve kimliği belirsiz giriş tokenleri göndermesine izin verebileceğini de saptadı.

Mağdur, bir e-postada gönderilen özel hazırlanmış bir bağlantıya tıkladıktan sonra, örneğin, kullanıcı adı ve şifresiyle Microsoft’un giriş sistemi üzerinden oturum açacaktır ve eğer ayarlanmışsa iki faktörlü kod ki bu hesap tutmak için bir hesap erişim belirteci oluşturur kullanıcı tekrar ve tekrar parola girmek zorunda kalmadan giriş yapar. Bir hesap erişim belirteci elde etmek, bir kişinin kimlik bilgilerine sahip olmakla eşdeğerdir ve bir saldırganın, genellikle herhangi bir alarmı yükseltmeden veya herhangi bir uyarıyı tetiklemeden söz konusu kullanıcının hesabına sorunsuz bir şekilde girmesini sağlar. ( Bu yılın başlarında 30 milyondan fazla Facebook hesabını riske atan aynı tür hesaplar var .)

Ancak, kötü niyetli URL, Microsoft’un giriş sistemini Nk’nin kontrol edilen alt alan adının hesap koduna geçirmesi talimatını veren bir şekilde oluşturulmuştur. Bu, kötü niyetli bir saldırgan tarafından kontrol ediliyorsa sayısız hesabın risk altına girmesine neden olabilir. En kötüsü, kötü niyetli URL meşru görünüyor – çünkü kullanıcı hala Microsoft sistemlerinde oturum açıyor ve URL’deki “wreply” parametresi de bir Office alt alan adı olduğundan şüpheli görünmüyor.

Diğer bir deyişle: Herkesin Office hesabı e-postaları, belgeleri ve diğer dosyaları da dahil olmak üzere kurumsal ve kurumsal hesaplar bile, kötü niyetli bir saldırgan tarafından kolayca erişilebildi ve meşru bir kullanıcıdan ayırt etmek neredeyse imkansız olurdu.

Nk, Paulos Yibelo’nun yardımıyla , güvenlik açığını Microsoft’a bildirdi.

Microsoft sözcüsü TechCrunch’a gönderilen bir e-postada onayladığı “Microsoft Güvenlik Yanıt Merkezi, Kasım 2018’deki durumu hafifletti. Hata, NAME Azure örneğine işaret eden CNAME kaydını kaldırarak düzeltildi.

Etiketler
Daha Fazla Göster

brkalbyrk

Gazi Üniversitesi Bilgisayar Mühendisliği'nde eğitim görmekteyim.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir