Poważne luki w systemie logowania do Microsoft Office, Store i Sway

11 grudnia, 2018

Od czerwca 2018 roku do listopada 2018 roku firma Microsoft pracowała nad załataniem dwóch podatności, które dotyczyły logowania do usług poczty Microsoft Outlook, sklepu z aplikacjami Microsoft Store i do usługi tworzenia prezentacji w Microsoft Sway. Nie jest wykluczone, że atakujący mógł przejąć konto dowolnego użytkownika i to w dowolnej usłudze Microsoftu. Aby mogło się to udać, ofiara musiała być wcześniej zalogowana do swojego konta (lub musiała logować się po otworzeniu strony) i kliknąć w link. Ale nie żaden złośliwy link. Jak najbardziej prawdziwy link w domenie live.com:  

hxxps://login.live.com/login.srf?wa=wsignin1.0&rpsnv=13&rver=6.7.6643.0&wp=MBI_SSL&wreply=https%3a%2f%2fsuccess.office.com%2fen-us%2fstore%2fb%2fhome%3fwa%3dwsignin1.0&lc=1033&id=74335

To „niedopatrzenie” zostało zauważone przez badacza bezpieczeństwa Sahadem Nk.

W jaki sposób była możliwa kradzież tokenu potrzebnego do zalogowania się na innym urządzeniu?

Tak została opisana procedura:

  1. Open the Azure Portal
  2. Click on “Create a resource” and select “Web”
  3. Click on “Web App”
  4. In the field App name, enter successcenter-msprod (note, this will not work anymore, as I’ve already claimed that name).
  5. Continue with the steps to select the preferred OS type and Plan.
  6. After the application is set up, from the side panel, click on “Custom domains” and add a hostname like success.office.com and save the settings
  7. Choose from various deployment options to deploy an application

Przede wszystkim hacker musiał założyć konto na portalu Microsoft Azure. Utworzyć nowy zasób. W nazwie podać successcenter-msprod (nie zawsze to przechodziło). Dodać nazwę hosta jako success.office.com. Po wdrożeniu aplikacji w chmurze Azure atakujący kontrolował domenę success.microsoft.com i wszystkie dane, które przez nią przechodziły.

Teraz wystarczyło podesłać spreparowany link do ofiary, a kiedy ta była wcześniej zalogowana lub logowała się w tym momencie (nawet z użyciem 2FA), to atakujący przejmował token dostępu, co jest równoznaczne z posiadaniem czyichś danych uwierzytelniających.

Tak więc domena login.live.com zezwalała domenie success.office.com na przekierowanie i wysyłanie tokenów. Doprowadziło to do wycieku tokenu na serwer Azure, który był kontrolowany przez osobę postronną. Te informacje mogły być wykorzystane do zalogowania się bez znajomości nazwy użytkownika i hasła.

I okazuje się, że przed nieautoryzowanym zalogowaniem się drugi składnik uwierzytelnienia nie zawsze chroni. Mimo wszystko zachęcamy użytkowników do sparowania aplikacji Microsoft Authenticator z usługami Microsoftu, aby za jej pośrednictwem potwierdzać uwierzytelnienie. Niestety, jeśli ofiara kliknęła w link i zalogowała się (lub wcześniej była zalogowana), to atakujący i tak mógł wykorzystać token do zalogowania się na innym urządzeniu. W związku z tym prosimy, abyście pamiętali o wylogowaniu się z usługi, jeśli z niej nie korzystacie i przestrzeganiu zasady, że nie klikamy we wszystko co popadnie.

W przypadku nietypowego zachowania, jakim jest logowanie się z innego kraju, system bezpieczeństwa Microsoftu wysyła ostrzeżenia:

Microsoft logowanie

Luki zostały zgłoszone firmie Microsoft w czerwcu 2018 roku i zostały naprawione pod koniec listopada 2018 roku. Zaprezentowana koncepcja ataku dotyczyła kont Outlook oraz Sway, ale badacz nie wyklucza, że atak mógł zadziałać dla pozostałych usług, które Microsoft oferuje w chmurze.

Wszystkim użytkownikom zalecamy zmianę hasła oraz włączenie uwierzytelniania wielopoziomowego z wykorzystaniem aplikacji Microsoft Authenticator.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]