据美国科技媒体TechCrunch报道,微软域名配置问题导致恶意攻击者可以轻而易举地访问任何人的Office帐号,从而访问他们的邮件、文档和其他文件等。
印度“漏洞猎手”Sahad Nk率先发现微软的子域名“success.office.com”未正确配置,他利用CNAME记录来将未配置的子域名指向他自己的Azure实例,通过这种方式,他可以接管该子域名,并劫持任何发送到该子域名的数据。
Nk还发现,当用户通过微软的Live登录系统登录他们的帐号后,微软的Office、Store和Sway等应用亦可以受骗将其身份验证登录指令发送他新近接管的域名。这是因为这些应用均使用一个通配符正则表达式,从而所有包含“office.com”字符的域名——包括他新接管的子域名——都能获得信任。
微软登录系统将帐号指令发送至Nk接管的子域名的恶意URL——若为恶意攻击者控制的话,恐会致使无数帐号暴露于风险之下。最糟糕的是,恶意URL看上去完全正常——因为用户仍然通过微软的系统进行登录,并且该URL中的“wreply”参数也没有疑点,因为它确实是Office的一个子域名。
Nk在Paulos Yibelo的帮助下已向微软报告了该漏洞,后者已经将漏洞修复,并为Nk的工作支付了漏洞赏金。