Atak na system logowania Microsoftu pozwala przejąć czyjeś konto Office

Atak opracował łowca nagród Sahad Nk z Indii. Najpierw udało mu się przejąć jedną z poddomen Microsoftu, która nie był prawidłowo skonfigurowana. Zmieniając rekord CNAME, łączący ze sobą różne domeny, przygotował przekierowanie z adresu success.office.com na swój prywatny serwer, uruchomiony jako instancja w chmurze Azure.

Badając strony dalej, Nk zauważył, że usługi Microsoft Office, Store i Sway można oszukać, by wysyłały tokeny logowania do jego nowej domeny. Tokeny są wykorzystywane, by użytkownicy korzystający z różnych usług Microsoftu nie musieli podawać swoich danych za każdym razem, gdy przechodzą z jednej do drugiej. Zaufane domeny logowania były określone wyrażeniem regularnym, pozwalającym na przesłanie tokenów do dowolnych poddomen office.com. Wystarczyło więc, by użytkownik zalogował się, korzystając z systemu Microsoft Live, by atakujący mógł przejąć token logowania. Nie pomogła tu dwustopniowa autoryzacja.

Specjalnie przygotowany link powodował, że system logowania Microsoftu przekazywał token logowania do wskazanej przez atakującego domeny success.office.com, pod którą krył się jego prywatny serwer, przejmujący dane. Szkodliwy link nie wygląda podejrzanie, a przy tym użytkownik loguje się do prawdziwego systemu logowania Microsoftu, trudno więc takie oszustwo wykryć. Atak jest tym bardziej niebezpieczny, że mając do dyspozycji ten token, można przejąć czyjeś konto bez uruchamiania systemów ostrzegających o nieautoryzowanym logowaniu.

Atak działał zarówno na prywatne konta Office, jak i firmowe, na których często bywają przechowywane poufne dokumenty. Na szczęście nic nie wskazuje na to, by na trop tego ataku wpadli cyberprzestępcy. Łowca nagród zgłosił swoje odkrycie Microsoftowi, który prawidłowo zabezpieczył swoją domenę w listopadzie 2018 roku i wypłacił odpowiednią nagrodę odkrywcy ataku.