Seguridad Informática. Microsoft expone 400 millones de cuentas de Outlook y Office 360 por error

huella digital - Microsoft expone 400 millones de cuentas de Outlook y Office 360 por error

El investigador que descubrió el error será recompensado por la empresa

Sahad Nk, experto en forense digital originario de la India y colaborador de una firma de ciberseguridad, ha recibido una recompensa de Microsoft como parte del programa de reporte de errores de la empresa gracias al descubrimiento y reporte de una serie de vulnerabilidades críticas presentes en las cuentas de Microsoft.

Las vulnerabilidades estaban presentes en las cuentas de Microsoft de los usuarios, desde archivos de Office hasta correos electrónicos de Outlook, según especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. En otras palabras, todo tipo de cuentas de Microsoft (más de 400 millones) y todo tipo de datos fueron expuestos a hacking. De ser encadenados, los bugs se convertirían en el vector de ataque perfecto para acceder a la cuenta de Microsoft de cualquier usuario; todo lo que requería el atacante era que el usuario hiciera clic en un enlace.

Según el reporte publicado por Sahad Nk, un subdominio de Microsoft (success.office.com) no se encontraba adecuadamente configurado, lo que le permitió tomar control usando un registro CNAME, un registro que conecta un dominio a otro. Utilizando el registro, Sahad pudo localizar el subdominio mal configurado y vincularlo a su instancia personal de Azure para obtener control completo del subdominio y todos sus datos.

Aunque esto ya parece grave por sí mismo, el verdadero problema para Microsoft es que las aplicaciones de Office, Sway y Store podrían ser engañadas con relativa facilidad para transferir sus tokens de inicio de sesión hacia otros dominios en control de posibles atacantes cuando un usuario inicie sesión en su cuenta de Microsoft.

Apenas la víctima interactúe con el enlace especialmente diseñado recibido por email, se iniciará sesión en el sistema de registro de Microsoft Live. Cuando la víctima ingrese su nombre de usuario, la contraseña y el código 2FA (en caso de estar habilitado) se generará un token de acceso a la cuenta para permitir que el usuario inicie sesión sin necesidad de volver a ingresar las credenciales de inicio de sesión.

Si alguien obtiene este token de acceso, es como obtener las credenciales de usuario auténticas, mencionan expertos en forense digital. Por lo tanto, un atacante puede ingresar fácilmente en la cuenta sin alertar al propietario original o alertar a Microsoft sobre el acceso no autorizado.

El enlace malicioso está diseñado de manera que obliga al sistema de inicio de sesión de Microsoft a transferir el token de cuenta al subdominio controlado. En este caso, el subdominio estaba controlado por Sahad; sin embargo, si un atacante malintencionado lo controlaba, era posible poner en riesgo un gran número de cuentas de Microsoft. Lo más preocupante es que el enlace malicioso parece auténtico debido a que el usuario todavía está ingresando a través del sistema de inicio de sesión legítimo de Microsoft.

El error fue corregido por Microsoft a la brevedad, se desconoce el monto de la recompensa que Microsoft entregó al experto.

Fuente: NOTICIAS DE SEGURIDAD INFORMÁTICA
https://noticiasseguridad.com/hacking-incidentes/microsoft-expone-400-millones-de-cuentas-de-outlook-y-office-360-por-error/

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en “Soluciones de seguridad utilizando la huella digital”

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

Anuncios

0 Responses to “Seguridad Informática. Microsoft expone 400 millones de cuentas de Outlook y Office 360 por error”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s




diciembre 2018
L M X J V S D
« Nov   Ene »
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 60 seguidores

paginas

Categorías

Actualizaciones de Twitter

Anuncios

A %d blogueros les gusta esto: