خطر از بیخ گوش مایکروسافت گذشت

به گزارش کلیک، محقق انگلیسی جک ویتون یک باگ سرقت اکانت مایکروسافت را گزارش داد که می‌توانست توسط هکرها مورد استفاده قرار گیرد و مایکروسافت نیز این باگ را تعمیر کرد.

ویتون این نقص را بی سروصدا به مایکروسافت گزارش داد و تنها دو روز برای تعمیر آن زمان برد. این نقص به این معنی بود که مهاجمین قادر بودند تنظیمات فیشینگ را برای دارایی‌های مایکروسافت مثل Outlook انجام داده و رمزها را به‌دست آورند.

ویتون نوشت: "ایجاد فریم‌های متعدد مخفی ساده بود که هرکدام با یک ورودی URL برای خدمات مختلف تنظیم می‌شد و سپس رمز عبور بدست می‌آمد. علی رقم اینکه باگ‌های CSRF اعتبار دیگرباگ‌ها را ندارند اما در هنگام شکف می‌توانند تاثیرات بزرگ‌تری داشته باشند.

URLهای دامنه ورودی برای درخواست‌های جعلی مهاجمین باز هستند و از طریق آن می‌توانند رمز عبور را به‌دست آورند.

ویتون می‌گوید آن‌ها این کار را با ساخت لینک‌های مخرب انجام خواهند داد که بسیار شبیه صفحه ورودی خدمات مایکروسافت است، اما به جای ورود به سایت، رمز عبور افراد را بدست خواهند آورد.

این رمزهای عبور که کاربران برای محصولات مختلف مایکروسافت وارد می‌کنند تنها برای همان محصول کاربرد خواهد داشت، برای مثال رمز عبور Outlook برای Azure کار نخواهد کرد.

ویتون می‌گوید مهاجمین می‌توانند از iframeهای پنهانی برای مخفی کردن درخواست رمز استفاده کنند.

منبع: theregister