I ricercatori di Safety Detective durante indagine sulla sicurezza per le vulnerabilità critiche di Microsoft, si sono imbattuti in diverse vulnerabilità che, quando incatenate, consentono a un utente malintenzionato di rilevare qualsiasi account Microsoft Outlook, Microsoft Store o Microsoft Sway semplicemente tramite un clic su un collegamento.

Vulnerabilità uno: acquisizione di sottodominio di success.office.com

Descrizione del problema:

Il sottodominio success.office.com puntava a un servizio di app Web di Microsoft Azure con il suo record CNAME. Durante un semplice controllo host, ci siamo resi conto che l’applicazione non era più disponibile e che siamo riusciti a rilevare il sottodominio registrando un’app Web di Azure con il nome successcenter-msprod. (CNAME)

Il record CNAME di success.office.com punta a successcenter- msprod.azurewebsites.net

Passaggi di riproduzione:

  1. Aprire il portale di Azure
  2. Clicca su “Crea una risorsa” e seleziona “Web”
  3. Clicca su “Web App”
  4. Nel campo Nome app, inserisci successcenter-msprod (nota, questo non funzionerà più, come ho già affermato quel nome).
  5. Continuare con i passaggi per selezionare il tipo di SO e il piano preferiti.
  6. Dopo aver configurato l’applicazione, dal pannello laterale, fai clic su “Domini personalizzati” e aggiungi un nome host come  success.office.com e le impostazioni
  7. Scegli tra varie opzioni di implementazione per distribuire un’applicazione

Ora possiamo controllare il dominio success.microsoft.com e qualunque sia il dato che gli viene inviato.

Vulnerabilità due: controlli OAuth impropri

Microsoft Outlook, Store e Sway consentono a https://success.office.com di ottenere un URL valido per “wreply” per ricevere i token di accesso dopo un’autenticazione corretta nel sistema di accesso centralizzato login.live.com. (Questo è sospetto a causa di un carattere jolly * .office.com, che consente a tutti i sottodomini di essere considerati attendibili).

Anche se l’iniziatore di autenticazione è outlook.com o sway.com, login.live.com consente https://success.office.com come URL di reindirizzamento valido e invia i token di accesso a questo dominio che ora controlliamo. Ciò ha provocato una perdita di token sul nostro server. Uno può scambiare questo token per un token di sessione e utilizzare i token per accedere come vittima senza conoscere nome utente / password.

Questo è pensato per aggirare tutto OAuth e ottenere un token valido; quando una vittima fa clic sul seguente link, saremo in grado di rilevare il suo account.

https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=13&rver=6.7.6643.0&wp=MBI_SSL&wreply=https%3a%2f%2fsuccess.office.com%2fen-us%2fstore%2fb%2fhome % 3fwa% 3dwsignin1.0 & lc = 1033 & id = 74335

Il suddetto link, quando visitato, invia il token dell’utente a un’app pre-autorizzata da Microsoft (in questo caso Microsoft Store con ID 74335) – e Microsoft invierà un token a success.office.com (un dominio che controlliamo) – questo in questo modo saremo in grado di filtrare il token e utilizzarlo per accedere come utente.

Richiesta originale inviata da Microsoft per ottenere token

Microsoft-Outlook

Risposta a Microsoft

Microsoft-Outlook

Il dominio che controlliamo per ricevere tutti i token necessari per accedere come vittima

È importante essere consapevoli che gli hacker potrebbero facilmente accedere a tutte le e-mail delle vittime e che persino un antivirus non avrebbe potuto proteggerle , motivo per cui questa violazione è così grave.

Lascia una recensione

Please Login to comment
avatar
  Subscribe  
Notificami