Microsoft Office: un bug nel sistema d'accesso ha messo a rischio i dati degli utenti
INFORMAZIONI SCHEDA
Alcuni ricercatori di sicurezza hanno annunciato di aver scovato un grave bug di sicurezza nel sistema d'accesso di Microsoft Office, che potenzialmente potrebbe mettere a rischio i dati personali degli utenti abbonati alla piattaforma.
Sahad Nk, un cacciatore di bug indiano infatti ha scoperto che il sottodominio "success.office.com" non eraconfigurato correttamente, consentendo a chiunque di prenderne il controllo. Il ricercatore ha utilizzato il CNAME Record, che viene utilizzato per collegare due domini tra di essi, per reindirizzare il sottodominio ad una propria istanza di Azure. Durante questo processo non solo ha controllato il sottodominio, ma anche tutti i dati inviati.
Non si tratta però dell'unico problema, perchè Nk ha anche osservato che le app di Microsoft Office, Store e Sway potevano essere ingannate per inviare i token di accesso autenticati al dominio di cui vi abbiamo parlato poco sopra, subito dopo che un utente qualsiasi si connetteva tramite il sistema di accesso di Microsoft Live.
Il tutto è da collegare al fatto che le app vulnerabili utilizzano un certificato con caratteri jolly, che consentono a tutti i domini office.com, compresi i sottodomini, di essere visti come attendibili.
Nel rapporto, che ha ottenuto in anteprima TechCrunch, Nk osserva che una volta che la vittima faceva clic su un collegamento appositamente predisposto ed inviato via mail, l'utente effettuava l'accesso tramite il sistema di Microsoft utilizzando il nome utente e la password a due fattori (se impostata), che appunto portava alla creazione di un token di accesso che di fatto evita l'inserimento delle credenziali ogni qualvolta ci si connette ad un sito web. Tale token, nel caso in cui fosse finito tra le mani di un malintenzionato, consentiva di entrare nell'account degli utenti senza problemi, senza che la vittima se ne accorgesse. Fondamentalmente è lo stesso sistema che ha interessato la falla di sicurezza di Facebook all'inizio dell'anno.
Infatti, a sviare ulteriormente qualsiasi tipo di allarme da parte anche dei più esperti ci pensa l'URL malevolo, che sembra legittimo in quanto è un sottodominio di office.com.
In questo modo l'account Office di chiunque, inclusi gli account aziendali ed i messaggi di posta elettronica, sarebbero potuti divenire accessibili da utenti malintenzionati.
Nk ha segnalato il tutto a Microsoft che ha risolto la vulnerabilità. Il colosso di Redmond, come previsto dal programma inaugurato qualche anno fa, ha versato nelle casse del ricercatore una corposa taglia come premio.
FONTE: TechCrunch
Rimani aggiornato seguendoci su Google News!
Unisciti all'orda: la chat telegramper parlare di videogiochi
Altri contenuti per Microsoft Office 365
- Microsoft porta la produttività nel VR: Word, Excel e PowerPoint sbarcano su Meta Quest
- Microsoft Office, tornano le licenze "a vita": Office 2024 è in arrivo
- Come alternare pagine verticali e orizzontali su Word? Si può fare
- Cosa fare se non funziona Microsoft Excel? Alcuni fix se si blocca
- Tre formule di Microsoft Excel che dovreste conoscere
Microsoft Office 365
Contenuti più Letti
- 1 commentiIPTV e pezzotto, minacciare di multare gli utenti è quasi inutile: lo svela uno studio
- Unieuro, partono i nuovi sconti solo online: una miriade di offerte fino al 24 Marzo
- 1 commentiCosa succederà ora agli utenti Ho. Mobile? Fastweb ha comprato tutto
- Che fine ha fatto Windows 12? La scelta di Microsoft potrebbe spiazzarvi
- Amazon sconta di 559 euro uno Smart TV OLED 4K di Samsung 2023
- 1 commentiQuesto dinosauro avrebbe tranquillamente potuto battere il T. rex e lo Spinosauro
- Quest'anno, dopo 80 anni, rivedremo a occhio nudo una nuova Stella Polare
- Perché i gatti anziani tendono a 'urlare' la notte? Quello che devi sapere
- Non immaginerete mai chi sarà l'eroe che salverà la barriera corallina
- Nel cuore dell'universo c'è un superammasso così grande da sfidare la comprensione