Vulnerabilidad en Microsoft permitía controlar cuentas de usuario

17 Diciembre 2018
Informativo

El investigador de SafetyDetective, Sahad Nk, descubrió una vulnerabilidad en Microsoft que podría haber permitido a un atacante tomar el control de cuentas de usuarios de Microsoft; accediendo a documentos de Office y correos electrónicos de Outlook, entre otros.

Nk tomó el control específicamente del subdominio de Microsoft, http://success.office.com, debido a una mala configuración. También pudo recibir todos los datos que se le enviaban.

Ocurre que las apps de Microsoft, Outlook, Store y Sway envían tokens de inicio de sesión autenticados al subdominio http://success.office.com. Entonces cuando un usuario iniciaba sesión en Microsoft Live (login.live.com), el token de inicio de sesión se filtraba hacia el servidor controlado por Nk. Luego, el investigador sólo tenía que enviar un correo de phishing al usuario, pidiéndole hacer click en un enlace (éste venía en forma de una URL de login.live.com, por lo que no podía ser detectado como phishing). Eso le dio a Nk un token de inicio de sesión de usuario válido, sin siquiera necesitar su nombre de usuario o contraseña.

De acuerdo a SafetyDetective, estos fallos se informaron a Microsoft en junio de 2018, pero recién se solucionaron en noviembre.


Tags: #microsoft #outlook #store #office #sway
  • Productos Afectados
  • Producto Versión
    Apps Microsoft Outlook
    Microsoft Store
    Microsoft Sway
    Microsoft Azure
    Microsoft Office.


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.