Od czerwca 2018 roku do listopada 2018 roku firma Microsoft pracowała nad załataniem dwóch podatności, które dotyczyły logowania do usług poczty Microsoft Outlook, sklepu z aplikacjami Microsoft Store i do usługi tworzenia prezentacji w Microsoft Sway. Nie jest wykluczone, że atakujący mógł przejąć konto dowolnego użytkownika i to w dowolnej usłudze Microsoftu. Aby mogło się to udać, ofiara musiała być wcześniej zalogowana do swojego konta (lub musiała logować się po otworzeniu strony) i kliknąć w link. Ale nie żaden złośliwy link. Jak najbardziej prawdziwy link w domenie live.com:  

hxxps://login.live.com/login.srf?wa=wsignin1.0&rpsnv=13&rver=6.7.6643.0&wp=MBI_SSL&wreply=https%3a%2f%2fsuccess.office.com%2fen-us%2fstore%2fb%2fhome%3fwa%3dwsignin1.0&lc=1033&id=74335

To „niedopatrzenie” zostało zauważone przez badacza bezpieczeństwa Sahadem Nk.

W jaki sposób była możliwa kradzież tokenu potrzebnego do zalogowania się na innym urządzeniu?

Tak została opisana procedura:

  1. Open the Azure Portal
  2. Click on “Create a resource” and select “Web”
  3. Click on “Web App”
  4. In the field App name, enter successcenter-msprod (note, this will not work anymore, as I’ve already claimed that name).
  5. Continue with the steps to select the preferred OS type and Plan.
  6. After the application is set up, from the side panel, click on “Custom domains” and add a hostname like success.office.com and save the settings
  7. Choose from various deployment options to deploy an application

Przede wszystkim hacker musiał założyć konto na portalu Microsoft Azure. Utworzyć nowy zasób. W nazwie podać successcenter-msprod (nie zawsze to przechodziło). Dodać nazwę hosta jako success.office.com. Po wdrożeniu aplikacji w chmurze Azure atakujący kontrolował domenę success.microsoft.com i wszystkie dane, które przez nią przechodziły.

Teraz wystarczyło podesłać spreparowany link do ofiary, a kiedy ta była wcześniej zalogowana lub logowała się w tym momencie (nawet z użyciem 2FA), to atakujący przejmował token dostępu, co jest równoznaczne z posiadaniem czyichś danych uwierzytelniających.

Tak więc domena login.live.com zezwalała domenie success.office.com na przekierowanie i wysyłanie tokenów. Doprowadziło to do wycieku tokenu na serwer Azure, który był kontrolowany przez osobę postronną. Te informacje mogły być wykorzystane do zalogowania się bez znajomości nazwy użytkownika i hasła.

I okazuje się, że przed nieautoryzowanym zalogowaniem się drugi składnik uwierzytelnienia nie zawsze chroni. Mimo wszystko zachęcamy użytkowników do sparowania aplikacji Microsoft Authenticator z usługami Microsoftu, aby za jej pośrednictwem potwierdzać uwierzytelnienie. Niestety, jeśli ofiara kliknęła w link i zalogowała się (lub wcześniej była zalogowana), to atakujący i tak mógł wykorzystać token do zalogowania się na innym urządzeniu. W związku z tym prosimy, abyście pamiętali o wylogowaniu się z usługi, jeśli z niej nie korzystacie i przestrzeganiu zasady, że nie klikamy we wszystko co popadnie.

W przypadku nietypowego zachowania, jakim jest logowanie się z innego kraju, system bezpieczeństwa Microsoftu wysyła ostrzeżenia:

Microsoft logowanie
Informacja o nietypowym zachowaniu przychodzi na adres e-mail.

Luki zostały zgłoszone firmie Microsoft w czerwcu 2018 roku i zostały naprawione pod koniec listopada 2018 roku. Zaprezentowana koncepcja ataku dotyczyła kont Outlook oraz Sway, ale badacz nie wyklucza, że atak mógł zadziałać dla pozostałych usług, które Microsoft oferuje w chmurze.

Wszystkim użytkownikom zalecamy zmianę hasła oraz włączenie uwierzytelniania wielopoziomowego z wykorzystaniem aplikacji Microsoft Authenticator.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz