Дырка в модуле авторизации Майкрософт позволяет ломать учетные записи

Просмотр

Программисты по безопасности из израильской фирмы CyberArk нашли «дырочку» в облачном хранилище Microsoft Azure. Сложность касается работы определенных приложений, применяющих документ авторизации Microsoft OAuth 2.0, и его эксплуатация разрешает делать токены для входа на сервер. Так хитрые мошенники могут захватить систему контроля учетных записей пострадавших и орудовать под их именами.

Какие приложения пострадали

Эксперты нашли ряд приложений Azure, сделанных Макрософтом, они подвержены массовым атакам такого вида. Когда лицо со злым умыслом полностью получит контроль над доменными и Url-адресами, доверенными для Майкрософта. Эти приложения дают вору шанс хитростью заставить пострадавшую сторону автоматом штамповать токены доступа с правами пользователя. Злоумышленнику можно с помощью обыкновенных методов социальной инженерии, заставить жертву перейти по ссылочке или посетить плохую веб-страничку. В ряде случаев нападения можно совершить без непосредственного контакта с доверчивым пользователем. Вредоносный ресурс, прячущий интегрированную страничку, способен в автоматическом режиме послать запрос для кражи токена учетных данных пользователя.

Чем все это опасно

Такой софт имеет превосходство на другими, потому что на автомате получает одобрение в каждой учетной записи Майкрософта и, соответственно, не требуется согласия юзера, чтобы сделать входные токены. Программные продукты нельзя полностью удалить из списка одобренных приложений, а иные и совсем не видны человеческому глазу, точнее не отображаются.

Эксперты рассказали о найденной системной «дырочке» софтовому гиганту 2 месяца назад, и умные технические мастера компании поставили надежные «заплатки» за 3 недели.

Хорошо, что в данный момент ситуация стабилизировалась. Сейчас среди злоумышленников есть профи высочайшего класса, поэтому порядочным пользователям нужно остерегаться атак опытных мошенников. Также стоит отметить, что в современном мире появилось масса качественного шпионского софта с отлаженными механизмами работы.

Оставить комментарий

avatar
  Подписаться  
Уведомление о