いくつかのバグを組み合わせると他人のMicrosoftアカウントを簡単に乗っ取れたことが判明した。これはユーザーに偽のリンクをクリックするよう仕向けるものだ。safetydetectiveは記事の公開に先立ってTechCrunchに内容を報じた。
Sahad Nkはsafetydetectiveと協力するインド在住のプログラマーで、脆弱性の発見を専門にするいわゆるバグ・ハンターだ。NkはMicrosoftのサブドメイン、success.office.comのコンフィグレーションが正しくないことを見つけ出した。
このサブドメインはOfficeへのログインにあたって使われるもので、CNAMEレコードというのはDNSが名前を解決するときに参照するソーン・ファイル中のデータだ。safetydetectiveの記事によれば、Nkはhost checkによりCNAMEにsuccessor.officeの別名として自身のサイトを書き込み、このサブドメインをコントロールすることができるようになったという。
ユーザーがMicrosoftのLive login systemを使ってOffice、Store、Swayのアプリにログインを試みた場合、Nkは自分がコントロールするサイトを利用して認証ずみログイン・トークンを送ることができることも発見した。
この脆弱性はアプリが正規表現のワイルドカードを使って
スポンサーリンク
Microsoft、ログインシステムの重大バグを修正――2段階認証のOfficeアカウントでも乗っ取れた
最近の投稿
- 需要の高まりと範囲別の創薬アウトソーシング市場の概要2023年から2031年
- 医療用銅チューブ市場規模、世界的な成長傾向、予測レポート – 2028年までの業界の見通し
- ケアマネの採用が「困難」 居宅で8割弱が回答 協会調査 「人材難は深刻な状況」・・・という記事の紹介です。
- 紙コップ市場は2023年から2031年にかけてBBB百万米ドルで成長すると予想
- IBM i(旧AS/400)を活かしつつ、DX推進する方法
- Beehiiv attracts $32M to make its newsletter publishing platform more sticky
- WeTransfer cuts out the middle man and now lets users sell files directly on the platform
- The first-ever race between four self-driving cars and a Formula 1 driver just happened in Abu Dhabi
- Bumble’s “Opening Move” feature takes the pressure off women to come up with a new message every time
- 給料と臨時収入では、同じ「1万円」でも使い道が変わる 無意識で非合理的なお金の使い方をする人間の心理
コメント