300 milioni di account Microsoft potevano (?) essere bucati !
Sempre il gigante con i piedi d’argilla.
Account Microsoft a rischio .
E ci risiamo con Microsoft. Dopo l’incursione nei server di sviluppo Microsoft , rieccoci con un problema sempre tenuto nascosto da Microsoft per mesi : molteplici vulnerabilità critiche concatenate tra loro consentivano ad un aggressore di assumere il controllo di Microsoft Outlook, Microsoft Store o Microsoft Sway semplicemente facendo fare clic sul link anche se ci si trovava di fronte un account con una autenticazione a due fattori.
Account Microsoft a rischio
Parte tutto da un sottodominio mal configurato di proprietà Microsoft. Il noto “Microsoft bug hunter” Sahad Nk l’ha identificato e segnalato a Microsoft in giugno e sono state affrontate queste problematiche e risolte con gli aggiornamenti di novembre. ( Giugno –> Novembre e nessuna sapeva NULLA !!!)
Sahad NK, che lavora come ricercatore in ambito sicurezza con il portale di sicurezza informatica Safetydetective.com, si è imbattuto in molteplici vulnerabilità che, quando sono incatenate insieme, permettono ad un aggressore di rilevare qualsiasi account Microsoft Outlook, Microsoft Store o Microsoft Sway semplicemente facendo cliccare alla vittima un link altamente “leggittimo”.
“Mentre la prova di vulnerabilità è stata fatta solo per Microsoft Outlook e Microsoft Sway, ci aspettiamo che riguardi tutti gli account Microsoft, compreso Microsoft Store”, ha detto Sahad.
Vulnerabilità
I ricercatori hanno scoperto che il dominio success.office.com stava puntava sul servizio Azure Web App attraverso Cname, ma il servizio host non esisteva. Così hanno registrato un nuovo Azure web-app in nome successcenter-msprod per prendere in consegna il sottodominio (success.office.com).
Sahad Nk, ha scoperto che un sottodominio Microsoft, “success.office.com,” non era stato configurato correttamente, permettendogli di prenderne il controllo. Ha usato un record CNAME, un record canonico usato per collegare un dominio ad un altro, per puntare il sottodominio non configurato, alla sua istanza Azure Web App. In questo modo, ha controllato il sottodominio – e tutti i dati ad esso inviati.
Sahad Nk ha creato un URL “dannoso” che passa i token di accesso al sottodominio da lui controllato e avendo il token di sessione, poteva accedere agli account della vittima senza avere le credenziali di login.
Ricapitoliamo
Una volta che la vittima fa clic su un link appositamente creato inviato in un’e-mail, ad esempio, l’utente accede al sistema di login di Microsoft utilizzando il proprio nome utente e password – e il codice a due fattori, se impostato – che crea un token di accesso all’account per mantenere l’utente connesso senza dover inserire la propria password più e più volte. Ottenere un token di accesso all’account è l’equivalente di avere le credenziali di qualcuno – e permette ad un aggressore di entrare nel conto di quell’utente senza soluzione di continuità, spesso senza generare allarmi o attivare avvisi. (Sono lo stesso tipo di account token che hanno messo a rischio più di 30 milioni di account Facebook all’inizio di quest’anno).
Ma l’URL dannoso è realizzato in un modo che indica al sistema di login di Microsoft di passare il token account al sottodominio controllato di Nk – che, se fosse stato controllato da un malintenzionato, avrebbe potuto mettere a rischio innumerevoli account. La cosa peggiore di tutte, l’URL dannoso sembra legittimo – perché l’utente effettua ancora l’accesso attraverso i sistemi Microsoft, e il parametro “wreply” nell’URL non sembra sospetto perché è un sottodominio di Office.
In altre parole: L’account Office di chiunque – anche gli account aziendali, compresi e-mail, documenti e altri file, avrebbero potuto essere facilmente accessibili da un malintenzionato – e sarebbe stato quasi impossibile discernere da un utente legittimo.
Considerazioni
- Si spera che Sahad Nk sia un genio assoluto e che questa vulnerabilità sia stata scoperta solo da lui. E se non fosse così ? Se non fosse così 300/400 milioni di account sono stati bucati e gli “aggressori” hanno avuto accesso ai dati di tutti gli account !
- Dalla diramazione della scoperta alla chiusura della falla sono passati mesi, lunghi mesi senza che nessuno sapesse della falla !
- Microsoft è un colosso ma con i piedi d’argilla !
- Non esiste nessun tipo di trasparenza con Microsoft.
Key : Account Microsoft a rischio , Microsoft gigante con i piedi di argilla , Sahad Nk