El cazador de bugs Sahad Nk descubrió recientemente una serie de vulnerabilidades que dejaron las cuentas de los usuarios de Microsoft, desde los documentos de Office hasta los correos electrónicos de Outlook, susceptibles al hackeo.
Mientras trabajaba como investigador de seguridad en el sitio de ciberseguridad SafetyDetective, Nk descubrió que podía hacerse cargo del subdominio de Microsoft, http://success.office.com, porque no estaba configurado correctamente.
Esto permitió al cazador de bugs configurar una aplicación web de Azure que apuntaba al registro CNAME del dominio, que asigna alias y subdominios de dominio al dominio principal. Al hacer esto, Nk no solo toma el control del subdominio, sino que también recibe todos los datos que se le envían.
Aquí es donde entra en juego la segunda gran vulnerabilidad.
Las aplicaciones de Microsoft Office, Outlook, Store y Sway envían tokens de inicio de sesión autenticados al subdominio http://success.office.com. Cuando un usuario inicia sesión en Microsoft Live, login.live.com, el token de inicio de sesión se filtra hacia el servidor controlado por Nk.
Luego, solo tendría que enviar un correo electrónico al usuario para pedirle que haga clic en un enlace, lo que proporcionaría a Nk un token de sesión válido, una forma de iniciar sesión en la cuenta del usuario sin siquiera necesitar su nombre de usuario o contraseña. Y, dado que Nk tiene acceso en el lado de Microsoft, ese enlace vendría en forma de una URL de login.live.com, sin pasar por la detección de suplantación de identidad e incluso los usuarios de Internet más inteligentes.
Según SafetyDetective, los problemas se informaron a Microsoft en junio. Los mismos fueron arreglados apenas el mes pasado, en noviembre.