Ошибка в системе аутентификации компрометировала аккаунты пользователей Microsoft

Компания Microsoft устранила уязвимость в системе аутентификации. По словам специалистов, обнаруженная брешь могла использоваться злоумышленниками для завладения доступом к аккаунтам пользователей.

Благодаря ошибке, хакеры могли незаметно похищать токены учетных записей, позволяющих пользователям входить в аккаунты без ввода пароля. Такие токены создаются приложениями или сайтами взамен паролей после регистрации пользователей.

Уязвимость системы аутентификации обнаружили специалисты израильской компании кибербезопасности CyberArk. В ходе проведенного исследования были найдены десятки незарегистрированных поддоменов, подключенных к приложениям Microsoft. Поскольку данные приложения оцениваются как высоконадежные, связанные с ними поддомены можно использовать для автоматического создания токенов доступа, не требующих прямого согласия пользователя.

После получения доступа к поддомену злоумышленнику оставалось лишь заставить жертву перейти по специальной ссылке, отправленной в электронном письме, в результате чего токен переходил в руки  преступника.

В некоторых случаях этот процесс можно было осуществить еще проще –   при помощи одного щелчка мыши. Без какого-либо взаимодействия с пользователем вредоносный сайт мог использовать скрытую встроенную вэб-страницу, выполняющую тот же запрос, передающий токены доступа злоумышленникам.

К счастью, специалистам кибербезопасности удалось занять обнаруженные в уязвимых приложениях Microsoft поддомены, предотвратив их использование в злонамеренных целях.

Компания Microsoft получила сообщения о пробеле в системе безопасности в конце октября этого года. Через три недели дефект был устранен.

«Мы решили проблему с приложениями, упомянутыми в сообщении, в ноябре, и наши клиенты находятся под защитой», – заявил представитель Microsoft.

Отметим, Microsoft предпринимает меры по устранению подобных ошибок в системе аутентификации не впервые. Уязвимость аналогичного характера технологический  гигант устранил год назад.

Источник