התגלה באג שיכול היה להעניק להאקרים גישה לחשבונות מיקרוסופט של משתמשים, הכוללים גישה לחשבונות של עסקים, ופרטים הכוללים כתובות אימייל, מסמכים וקבצים נוספים.
כך גילה צייד הבאגים ההודי סאהאד אן.קיי. המתקפה התאפשרה כשאן.קיי גילה כי הדומיין success.office.com לא עבר קונפיגורציה כראוי, וכך הוא יכול היה להשתלט עליו, וקישר אותו לחשבון הענן האישי שלו בשירות Azure של מיקרוסופט. בדרך זו הוא שלט על כל דאטה שנשלחה לשרת, הוא הסביר לאתר טק-קראנץ'. אן.קיי. גילה כי ניתן היה לגרום לתוכנות אופיס, לחנות של מיקרוסופט ולאפליקציות נוספות לשלוח את פרטי ההתחברות המאומתים אליהן לשרת החדש עליו הוא שולט, מכיוון שאפליקציות אלה רואות בכל שרתי office.com שרתים עליהם ניתן לסמוך.
ברגע שמשתמש לוחץ למשל על לינק שנשלח אליו באמצעות אימייל, שנראה תמים בשל השימוש בשרת של מיקרוסופט, הוא מקושר להתחברות דרך המערכת של מיקרוסופט, שגם היא אינה מעוררת חשד, באמצעות שם משתמש וסיסמה. המנגנון ששומר את פרטי ההתחברות כך שהמשתמש לא יצטרך להתחבר בכל פעם מחדש, יאפשר לתוקף לפרוץ לאותו חשבון ללא אתגר, ומבלי לעורר חשד אצל המשתמש. הקישור בנוי באופן בו מערכת ההתחברות של מיקרוסופט תעביר את הפרטים לדומיין שבבעלות אן.קיי, ואם הוא היה בבעלות תוקף עם כוונות זדוניות, פרטים אישיים רבים היו בסכנה.
אן.קיי. דיווח על הבאג למיקרוסופט, שתיקנה את פגם האבטחה. החברה אמרה לטק-קראנץ' כי טיפלה במקרה בחודש נובמבר. אן.קיי. זכה במענק ממיקרוסופט על גילוי הבאג.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.
כתבות
ני"ע
