Уязвимость в Outlook.com позволяла получить доступ к аккаунтам

image

Теги: Microsoft, Outlook, уязвимость

Брешь позволяла обойти механизм аутентификации по OAuth.

Исследователь компании Synack Уэсли Вайнберг (Wesley Weinberg) обнаружил уязвимость в сервисе Outlook.com, позволяющую злоумышленникам получить доступ ко всему содержимому почтового ящика жертвы. С помощью вредоносного приложения киберпреступник может обойти механизм аутентификации по OAuth.

Вайнберг создал PoC-приложение под названием Evil App для доказательства существования уязвимости. Как сообщается в блоге исследователя, программа способна получить доступ ко всему содержимому аккаунта. Для успешной эксплуатации уязвимости требуется, чтобы пользователь открыл вредоносную web-страницу. Дальнейших действий со стороны жертвы не требуется.

Исследователь уверен, что хакеры смогут проэксплуатировать уязвимость в целях создания почтового червя. Эксплуатирующее уязвимость вредоносное ПО сможет без ведома жертвы рассылать спам пользователям из его списка контактов. В сообщениях в таком случае будет указываться ссылка, перейдя по которой, получатели письма также окажутся подвержены действию вредоносного ПО.

Корпорация Microsoft устранила уязвимость в середине сентября нынешнего года. В рамках программы по обнаружению брешей Вайнберг получил $24 тысячи.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.