Microsoftは深刻なアカウントハイジャックのセキュリティの欠陥を修正

マイクロソフトは、攻撃者が収集したログイントークンを使用できるようにする重要なアカウント認証の欠陥にパッチを当てるのに48時間しかかからなかった。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

英国のセキュリティ研究者Jack Whittonによると、ログイントークンを収集して後でユーザーアカウントとデータを侵害するように設計されたフィッシング詐欺サイトを通じて、この脆弱性が悪用される可能性があります。

月曜日のブログ記事では、マイクロソフト製品のユーザーを偽装する攻撃にPOST値を操作することができると述べた。

Redmondの巨人は、Outlookの電子メールからAzureまで、さまざまなオンラインサービスをサポートしています。ユーザーがこれらのサービスにアクセスするには、資格情報を入力する必要があり、POST要求はドメインのアドレスの ‘wreply’値を使用して送信され、問題のユーザーのログイントークンが完了します。トークンは、ログインプロセスによって使用され、消費されます。

Cookieは、各サービスが別のドメインでホストされているため、認証には使用されません。したがって、トークンだけが必要です。この値を攻撃者のサーバーにパントできる場合、ユーザーは偽装され、トークンはサイト間偽装攻撃の犠牲者としてログインするために使用されます。

この研究者は、URLコーディングパラメータとURLの解析を調整することで、認証エラーを防ぐためのさまざまなフィルタをバイパスできることを発見しました。

このバグの根本的な原因は、攻撃者がPOST認証トークンに対する任意のURLを指定できるようにするため、攻撃者がこのデータを偽のWebサイトやフィッシングで入手した場合、ユーザーアカウントへの完全なアクセスを得ることができます。

トークンはAzureではなくOutlookなどの発行されたサービスに対してのみ有効ですが、複数のトークンを収集するためにログインURLを異なるサービスに設定して複数の非表示のiframeを作成するのは簡単なことです。

Whitton氏は24日、Microsoftにセキュリティ問題を報告した。その日の終わりに、Microsoftのセキュリティチームはこの欠陥を認め、火曜日26日に問題を修正することができた。

あなたがロシア人でない限り、あなたのBitcoinの鉱業利益を30%増加させる方法、SMS Androidのマルウェアがあなたのデバイスを根絶し、乗っ取る – バグ賞金:研究者の現金を提供する会社、Shodan:IoT検索エンジンのプライバシーメッセンジャーあなたは盗まれた銀行データをダークウェブに漏らしますか?

Whitton氏は、CSRFバグが他のバグと同じ信頼性を持たないにもかかわらず、認証システムで発見されたときにその影響がかなり大きくなる可能性があることを証明しています。

読んでください:トップピック

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命