Ένας ερευνητής ασφαλείας έχει κερδίσει $ 24.000 από τη Microsoft για την εύρεση μιας κρίσιμης ευπάθειας στο σύστημα ελέγχου ταυτότητας στο Live.com, που θα μπορούσε να επιτρέψει σε χάκερ να αποκτήσει πρόσβαση σε λογαριασμό Outlook ενός χρήστη ή σε άλλες υπηρεσίες της Microsoft.
Η υπηρεσία Live.com της Microsoft είναι το σύστημα ελέγχου ταυτότητας που όλοι διαπερνούν, όταν ο χρήστης πρέπει να ταυτοποιηθεί για τη χρήση του Outlook.com και άλλων υπηρεσιών της Microsoft, συμπεριλαμβανομένων των OneDrive, Windows Phone, Skype και το Xbox LIVE.
Παραβιάζοντας έναν λογαριασμό Hotmail (Outlook.com)
Είναι ένας λογαριασμό για όλες τις υπηρεσίες. Έτσι, αν για παράδειγμα, το Outlook θέλει να έχει πρόσβαση σε άλλες εφαρμογές, χρησιμοποιεί ένα τυποποιημένο σύνολο κώδικα που ονομάζεται OAuth.
Το OAuth είναι ένα ανοικτό πρότυπο για παροχή πρόσβασης, που κρατά τους κωδικούς πρόσβασης σας ασφαλές σημείο κατά την επίσκεψη άλλων ιστοσελίδων και αντί να μοιράζεται τον κωδικό πρόσβασης του χρήστη, μοιράζεται ένα ειδικό κλειδί που ονομάζεται «διακριτικό πρόσβασης» (Access token), για να αποκτήσει πρόσβαση στο app.
Η πρόσβαση μέσω OAuth επιτυγχάνεται μέσα από μια ερώτηση, όπως φαίνεται παρακάτω, όπου για να γίνει επιτρεπτή και να πραγματοποιήσει είσοδο ο χρήστης στο λογαριασμό του, θα πρέπει να κάνει κλικ στο «Yes».
Ωστόσο, o ερευνητής ασφαλείας, Wesley Wineberg εντόπισε ένα σοβαρό σφάλμα που του επέτρεψε να παρακάμψει τον μηχανισμό προστασίας OAuth της Microsoft χρησιμοποιώντας την κακόβουλη εφαρμογή του «proof-of-concept», που ονομάζεται «Evil App».
Σύμφωνα με τις τεχνικές λεπτομέρειες που δημοσίευσε ο ερευνητής ασφάλειας, κακόβουλες εφαρμογές των εισβολέων, μπορούν να αποκτήσουν πρόσβαση στο λογαριασμό του θύματος, ξεγελώντας το θύμα να επισκεφτεί μια ιστοσελίδα, η οποία δεν απαιτεί καμία άλλη αλληλεπίδραση από τον χρήστη.
Επίδειξη
Μπορείτε να παρακολουθήσετε την επίθεση στο παρακάτω βίντεο:
