セキュリティ研究者によると、このバグは、攻撃者が自分のサイトでパスワードを常に再入力する必要なしに、複数のウェブサイトやアプリがユーザーにアクセスを許可するために使用するアカウントトークンを盗むことを静かに可能にすることができます。アプリやウェブサイトによって作成されたこれらのトークンは、ユーザーのログイン後にユーザー名とパスワードの場所に置かれ、このトークンはユーザーが継続的にサイトにログインし続けますが、それと共にユーザーが直接パスワードを提供することなく、さまざまなサードパーティ製のアプリやウェブサイトにアクセスすることができます。
マイクロソフトで命名されたイスラエルのサイバーセキュリティ企業は、開いたままにすると簡単に悪用され、潜在的な被害者のアカウントにアクセスするために使用されるアカウントトークンをサイフォンオフするために使用されます。CyberArkは最新の調査をメディアと共有し、マイクロソフトが構築した複数のアプリに接続されている未登録のサブドメインが数十個あることを説明しています。これらの社内アプリは高い信頼性を持っており、それに関連付けられているサブドメインを使用して、ユーザーからの明示的な同意をまったく必要とせずに自動的にユーザーにアクセスするためのトークンを生成できます。攻撃者がサブドメインにアクセスできる場合、攻撃者が行う唯一のことは、被害者を操作して電子メールまたは Web サイトで作成されたリンクをクリックするだけで、トークンは簡単に盗まれる可能性があります。一部のセキュリティ研究者によると、このトリックは数秒で行うことができ、ゼロクリックの方法で、ユーザーとの対話はほとんど必要ありません。悪意のある Web サイトに隠された埋め込み Web ページは、悪意のある電子メールのリンクと同じ要求をトリガーして、ユーザーのアカウントのトークンをまったく警告することなく盗む可能性もあります。
研究者は、悪意のある悪用が起こらないように、脆弱と思われるアプリから見つけることができる限り多くのサブドメインを登録しましたが、セキュリティ研究者はまた、より多くのサブドメインが取り残されていることについて警告しました。10 月下旬、このセキュリティ上の問題がマイクロソフトに報告され、ハイテク企業は次の 3 週間以内にこの問題を修正しました。マイクロソフトによると、この問題は、セキュリティ研究者によってレポートに記載されているアプリケーションを含む問題を解決し、顧客は保護されたままです。
要するに
マイクロソフトがプラットフォームに抜け穴を残したとして非難されたのは間違いなく初めてではなく、マイクロソフトがログインシステムのバグを修正して報告に応答したのは初めてではありません。マイクロソフトを見ると、ハイテク大手は、不適切に構成されたMicrosoftサブドメインの記録が変更され、Officeアカウントトークンを盗むために使用される可能性があると研究者が報告した同様のバグを修正しました。
写真: ゲッティイメージズによるウェルズエンタープライズ