TechCrunch De acordo com relatos da imprensa estrangeira, "caçador brecha" da Índia Sahad Nk é o primeiro a descobrir subdomínio da Microsoft "success.office.com" as pessoas não estão configurados corretamente, ele usou essa brecha para enganam os usuários, clique no link para obter Microsoft acesso a contas de usuário.
Ele usou registro CNAME, ou seja, um nome de domínio para um link para outro domínio registros de autoridade, nome de domínio é configurado para sub-ponto de sua própria instância Azure. Nk disse que, desta forma, ele pode assumir o subdomínio, e à adopção de quaisquer dados enviados para o subdomínio.
Isto em si não é um grande problema, mas Nk também concluiu que, porque o Office, loja e Sway destas aplicações usar uma expressão regular curinga, por isso, quando os usuários fazem logon através do Live da Microsoft sign-on do sistema, essas aplicações será errado autenticação do utilizador Entrar e assumir o seu novo comando envia um nome de domínio em.
invasor mal-intencionado pode facilmente aceder a este caminho de ninguém conta do Office, e até mesmo corporativo e contas de grupo, incluindo o seu e-mail, documentos e outros arquivos, e quase impossível de identificar os usuários legítimos.
Atualmente, Nk com a ajuda de Paulos Yibelo Microsoft relatou a vulnerabilidade. Microsoft também tem correções de bugs e generosidade vulnerabilidade pagos para o trabalho de Nk.
Este artigo editor: Lu Tianzhi