Microsoft Office: un bug nel sistema d'accesso ha messo a rischio i dati degli utenti

Microsoft Office: un bug nel sistema d'accesso ha messo a rischio i dati degli utenti
INFORMAZIONI SCHEDA
di

Alcuni ricercatori di sicurezza hanno annunciato di aver scovato un grave bug di sicurezza nel sistema d'accesso di Microsoft Office, che potenzialmente potrebbe mettere a rischio i dati personali degli utenti abbonati alla piattaforma.

Sahad Nk, un cacciatore di bug indiano infatti ha scoperto che il sottodominio "success.office.com" non eraconfigurato correttamente, consentendo a chiunque di prenderne il controllo. Il ricercatore ha utilizzato il CNAME Record, che viene utilizzato per collegare due domini tra di essi, per reindirizzare il sottodominio ad una propria istanza di Azure. Durante questo processo non solo ha controllato il sottodominio, ma anche tutti i dati inviati.

Non si tratta però dell'unico problema, perchè Nk ha anche osservato che le app di Microsoft Office, Store e Sway potevano essere ingannate per inviare i token di accesso autenticati al dominio di cui vi abbiamo parlato poco sopra, subito dopo che un utente qualsiasi si connetteva tramite il sistema di accesso di Microsoft Live.

Il tutto è da collegare al fatto che le app vulnerabili utilizzano un certificato con caratteri jolly, che consentono a tutti i domini office.com, compresi i sottodomini, di essere visti come attendibili.

Nel rapporto, che ha ottenuto in anteprima TechCrunch, Nk osserva che una volta che la vittima faceva clic su un collegamento appositamente predisposto ed inviato via mail, l'utente effettuava l'accesso tramite il sistema di Microsoft utilizzando il nome utente e la password a due fattori (se impostata), che appunto portava alla creazione di un token di accesso che di fatto evita l'inserimento delle credenziali ogni qualvolta ci si connette ad un sito web. Tale token, nel caso in cui fosse finito tra le mani di un malintenzionato, consentiva di entrare nell'account degli utenti senza problemi, senza che la vittima se ne accorgesse. Fondamentalmente è lo stesso sistema che ha interessato la falla di sicurezza di Facebook all'inizio dell'anno.

Infatti, a sviare ulteriormente qualsiasi tipo di allarme da parte anche dei più esperti ci pensa l'URL malevolo, che sembra legittimo in quanto è un sottodominio di office.com.

In questo modo l'account Office di chiunque, inclusi gli account aziendali ed i messaggi di posta elettronica, sarebbero potuti divenire accessibili da utenti malintenzionati.

Nk ha segnalato il tutto a Microsoft che ha risolto la vulnerabilità. Il colosso di Redmond, come previsto dal programma inaugurato qualche anno fa, ha versato nelle casse del ricercatore una corposa taglia come premio.