התגלה פגם אבטחה במיקרוסופט שעשוי היה לסכן מידע פרטי של משתמשים

צייד הבאגים ההודי סאהאד אן.קיי גילה כי הדומיין success.office.com לא עבר קונפיגורציה כראוי, וכך הוא יכול היה להשתלט עליו • מיקרוסופט תיקנה את פגם האבטחה

מנכ"ל מיקרוסופט סאטיה נדלה / צילום: רויטרס
מנכ"ל מיקרוסופט סאטיה נדלה / צילום: רויטרס

התגלה באג שיכול היה להעניק להאקרים גישה לחשבונות מיקרוסופט של משתמשים, הכוללים גישה לחשבונות של עסקים, ופרטים הכוללים כתובות אימייל, מסמכים וקבצים נוספים.

כך גילה צייד הבאגים ההודי סאהאד אן.קיי. המתקפה התאפשרה כשאן.קיי גילה כי הדומיין success.office.com לא עבר קונפיגורציה כראוי, וכך הוא יכול היה להשתלט עליו, וקישר אותו לחשבון הענן האישי שלו בשירות Azure של מיקרוסופט. בדרך זו הוא שלט על כל דאטה שנשלחה לשרת, הוא הסביר לאתר טק-קראנץ'. אן.קיי. גילה כי ניתן היה לגרום לתוכנות אופיס, לחנות של מיקרוסופט ולאפליקציות נוספות לשלוח את פרטי ההתחברות המאומתים אליהן לשרת החדש עליו הוא שולט, מכיוון שאפליקציות אלה רואות בכל שרתי office.com שרתים עליהם ניתן לסמוך.

ברגע שמשתמש לוחץ למשל על לינק שנשלח אליו באמצעות אימייל, שנראה תמים בשל השימוש בשרת של מיקרוסופט, הוא מקושר להתחברות דרך המערכת של מיקרוסופט, שגם היא אינה מעוררת חשד, באמצעות שם משתמש וסיסמה. המנגנון ששומר את פרטי ההתחברות כך שהמשתמש לא יצטרך להתחבר בכל פעם מחדש, יאפשר לתוקף לפרוץ לאותו חשבון ללא אתגר, ומבלי לעורר חשד אצל המשתמש. הקישור בנוי באופן בו מערכת ההתחברות של מיקרוסופט תעביר את הפרטים לדומיין שבבעלות אן.קיי, ואם הוא היה בבעלות תוקף עם כוונות זדוניות, פרטים אישיים רבים היו בסכנה.

אן.קיי. דיווח על הבאג למיקרוסופט, שתיקנה את פגם האבטחה. החברה אמרה לטק-קראנץ' כי טיפלה במקרה בחודש נובמבר. אן.קיי. זכה במענק ממיקרוסופט על גילוי הבאג.