Microsoft expone 400 millones de cuentas de Outlook y Office 360 por error

El investigador que descubrió el error será recompensado por la empresa

Sahad Nk, experto en forense digital originario de la India y colaborador de una firma de ciberseguridad, ha recibido una recompensa de Microsoft como parte del programa de reporte de errores de la empresa gracias al descubrimiento y reporte de una serie de vulnerabilidades críticas presentes en las cuentas de Microsoft.

Las vulnerabilidades estaban presentes en las cuentas de Microsoft de los usuarios, desde archivos de Office hasta correos electrónicos de Outlook, según especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. En otras palabras, todo tipo de cuentas de Microsoft (más de 400 millones) y todo tipo de datos fueron expuestos a hacking. De ser encadenados, los bugs se convertirían en el vector de ataque perfecto para acceder a la cuenta de Microsoft de cualquier usuario; todo lo que requería el atacante era que el usuario hiciera clic en un enlace.

Según el reporte publicado por Sahad Nk, un subdominio de Microsoft (success.office.com) no se encontraba adecuadamente configurado, lo que le permitió tomar control usando un registro CNAME, un registro que conecta un dominio a otro. Utilizando el registro, Sahad pudo localizar el subdominio mal configurado y vincularlo a su instancia personal de Azure para obtener control completo del subdominio y todos sus datos.

Aunque esto ya parece grave por sí mismo, el verdadero problema para Microsoft es que las aplicaciones de Office, Sway y Store podrían ser engañadas con relativa facilidad para transferir sus tokens de inicio de sesión hacia otros dominios en control de posibles atacantes cuando un usuario inicie sesión en su cuenta de Microsoft.

Apenas la víctima interactúe con el enlace especialmente diseñado recibido por email, se iniciará sesión en el sistema de registro de Microsoft Live. Cuando la víctima ingrese su nombre de usuario, la contraseña y el código 2FA (en caso de estar habilitado) se generará un token de acceso a la cuenta para permitir que el usuario inicie sesión sin necesidad de volver a ingresar las credenciales de inicio de sesión.

Si alguien obtiene este token de acceso, es como obtener las credenciales de usuario auténticas, mencionan expertos en forense digital. Por lo tanto, un atacante puede ingresar fácilmente en la cuenta sin alertar al propietario original o alertar a Microsoft sobre el acceso no autorizado.

El enlace malicioso está diseñado de manera que obliga al sistema de inicio de sesión de Microsoft a transferir el token de cuenta al subdominio controlado. En este caso, el subdominio estaba controlado por Sahad; sin embargo, si un atacante malintencionado lo controlaba, era posible poner en riesgo un gran número de cuentas de Microsoft. Lo más preocupante es que el enlace malicioso parece auténtico debido a que el usuario todavía está ingresando a través del sistema de inicio de sesión legítimo de Microsoft.

El error fue corregido por Microsoft a la brevedad, se desconoce el monto de la recompensa que Microsoft entregó al experto.

(Visited 713,1 times)