خطر از بیخ گوش مایکروسافت گذشت
رخنه اطلاعاتی مایکروسافت ۴۸ ساعت پس از گزارش این باگ بسته شد. حمله برداشت رمز به این معنی است که فرد میتواند از چندین سرویس مایکروسافت استفاده کند.
به گزارش کلیک، محقق انگلیسی جک ویتون یک باگ سرقت اکانت مایکروسافت را گزارش داد که میتوانست توسط هکرها مورد استفاده قرار گیرد و مایکروسافت نیز این باگ را تعمیر کرد.
ویتون این نقص را بی سروصدا به مایکروسافت گزارش داد و تنها دو روز برای تعمیر آن زمان برد. این نقص به این معنی بود که مهاجمین قادر بودند تنظیمات فیشینگ را برای داراییهای مایکروسافت مثل Outlook انجام داده و رمزها را بهدست آورند.
ویتون نوشت: "ایجاد فریمهای متعدد مخفی ساده بود که هرکدام با یک ورودی URL برای خدمات مختلف تنظیم میشد و سپس رمز عبور بدست میآمد. علی رقم اینکه باگهای CSRF اعتبار دیگرباگها را ندارند اما در هنگام شکف میتوانند تاثیرات بزرگتری داشته باشند.
URLهای دامنه ورودی برای درخواستهای جعلی مهاجمین باز هستند و از طریق آن میتوانند رمز عبور را بهدست آورند.
ویتون میگوید آنها این کار را با ساخت لینکهای مخرب انجام خواهند داد که بسیار شبیه صفحه ورودی خدمات مایکروسافت است، اما به جای ورود به سایت، رمز عبور افراد را بدست خواهند آورد.
این رمزهای عبور که کاربران برای محصولات مختلف مایکروسافت وارد میکنند تنها برای همان محصول کاربرد خواهد داشت، برای مثال رمز عبور Outlook برای Azure کار نخواهد کرد.
ویتون میگوید مهاجمین میتوانند از iframeهای پنهانی برای مخفی کردن درخواست رمز استفاده کنند.
منبع: theregister