nba直播 境外-微软登录系统存在漏洞:用户Office帐号受影响

时间:2021-02-25 作者:漏洞

北京时间12月12日下午,据美国科技媒体TechCrunch报道,当一系列nba直播连接到海外时,可以构成获取微软用户账号的完美攻击。简而言之,点击一个链接就是欺骗用户。

印度“nba直播海外猎人”Sahad Nk首先发现微软的子域“success.office.com”配置不正确,这给了他接管子域的机会。他使用CNAME记录——(用于将一个域名链接到另一个域名的规范记录——)将未配置的子域指向他自己的Azure实例。在TechCrunch发表前了解到的一篇文章中,Nk说,这样他就可以接管子域,劫持发送到子域的任何数据。

这本身并不是什么大问题,但是Nk也发现,当用户通过微软的Live登录系统登录到自己的账户时,微软的Office、Store、Sway等应用也可以被欺骗,将自己的认证登录指令发送到他最近接手的域名。这是因为这些应用程序都使用通配符正则表达式,因此包含“office.com”字符的所有域名——(包括新的子域名3354)都是可信的。

例如,一旦受害用户点击电子邮件中发送的特殊链接,该用户将使用他的用户名和密码通过微软的登录系统登录到他们的帐户。得到一个账号访问指令就像拥有某人的凭证——,让攻击者可以悄悄入侵用户的账号。

但是,如果指示微软登录系统向Nk接管的子域发送账户指令的恶意URL——被恶意攻击者控制,则可能会使无数账户面临风险。最糟糕的是,恶意URL看起来完全正常——,因为用户还是通过微软的系统登录的,而且URL中的“wreply”参数是毫无疑问的,因为确实是Office的子域名。

换句话说,恶意攻击者可以轻松访问任何人的Office帐户——,甚至公司和集团帐户,包括他们的电子邮件、文档和其他文件,合法用户几乎无法识别它们。

在Paulos Yibelo的帮助下,Nk向微软举报了nba海外直播,微软对nba海外直播进行了修复,并向nba海外直播支付了Nk工作的报酬。(Muer)

[来源:新浪科技]

声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。