Уязвимость в Outlook.com позволяла получить доступ к аккаунтам

  • Автор темы Eva
  • Дата начала

Eva

Местный
Регистрация
3/4/15
Сообщения
866
Репутация
0
Реакции
1.778
RUB
0
Брешь позволяла обойти механизм аутентификации по OAuth.
4097889fd8ebec15bfe1c525b0d00511.jpg

Исследователь компании Synack Уэсли Вайнберг (Wesley Weinberg) обнаружил уязвимость в сервисе Outlook.com, позволяющую злоумышленникам получить доступ ко всему содержимому почтового ящика жертвы. С помощью вредоносного приложения киберпреступник может обойти механизм аутентификации по OAuth.

Вайнберг создал PoC-приложение под названием Evil App для доказательства существования уязвимости. Как сообщается в блоге исследователя, программа способна получить доступ ко всему содержимому аккаунта. Для успешной эксплуатации уязвимости требуется, чтобы пользователь открыл вредоносную web-страницу. Дальнейших действий со стороны жертвы не требуется.

Исследователь уверен, что хакеры смогут проэксплуатировать уязвимость в целях создания почтового червя. Эксплуатирующее уязвимость вредоносное ПО сможет без ведома жертвы рассылать спам пользователям из его списка контактов. В сообщениях в таком случае будет указываться ссылка, перейдя по которой, получатели письма также окажутся подвержены действию вредоносного ПО.

Корпорация Microsoft устранила уязвимость в середине сентября нынешнего года. В рамках программы по обнаружению брешей Вайнберг получил $24 тысячи.
 
Сверху Снизу