Microsoft के लॉगिन सिस्टम में एक बग ने उपयोगकर्ताओं को खाता अपहरण के खतरे में डाल दिया

Posted on by thelifeofpsi

Microsoft ने अपने लॉगिन सिस्टम में एक भेद्यता तय की है, जो सुरक्षा शोधकर्ताओं का कहना है कि इसका उपयोग अप्रशिक्षित पीड़ितों को उनके ऑनलाइन खातों तक पूरी पहुंच प्रदान करने के लिए किया जा सकता है।

बग ने हमलावरों को चुपचाप खाता टोकन चोरी करने की अनुमति दी, जो वेबसाइटों और एप्लिकेशन उपयोगकर्ताओं को अपने पासवर्ड को फिर से दर्ज करने की आवश्यकता के बिना अपने खातों तक पहुंच प्रदान करने के लिए उपयोग करते हैं। ये टोकन उपयोगकर्ता द्वारा लॉग इन करने के बाद एक उपयोगकर्ता नाम और पासवर्ड के स्थान पर एक ऐप या एक वेबसाइट द्वारा बनाए जाते हैं। यह उपयोगकर्ता को साइट पर लगातार लॉग इन रखता है, लेकिन उपयोगकर्ताओं को सीधे हाथ लगाए बिना तृतीय-पक्ष एप्लिकेशन और वेबसाइटों तक पहुंचने की अनुमति देता है। उनके पासवर्ड पर।

इजरायल की साइबर सिक्योरिटी कंपनी साइबरअर्क के शोधकर्ताओं ने पाया कि माइक्रोसॉफ्ट ने एक आकस्मिक खामियों को छोड़ दिया, जिसका शोषण होने पर पीड़ित के खाते तक पहुंचने के लिए इस्तेमाल किए गए टोकन का उपयोग नहीं किया जा सकता था – संभवतः उपयोगकर्ता को अलर्ट किए बिना।

साइबरआर्क के नवीनतम शोध, टेकक्रंच के साथ विशेष रूप से साझा किए गए, दर्जनों गैर-पंजीकृत उप-डोमेन पाए गए जो Microsoft द्वारा निर्मित कुछ मुट्ठी भर ऐप से जुड़े थे। ये इन-हाउस ऐप्स अत्यधिक विश्वसनीय हैं और, जैसे कि, उपयोगकर्ता से किसी भी स्पष्ट सहमति की आवश्यकता के बिना स्वचालित रूप से एक्सेस टोकन उत्पन्न करने के लिए संबंधित उप-डोमेन का उपयोग किया जा सकता है।

हाथ में उपडोमेन के साथ, सभी हमलावर को एक बेजोड़ शिकार को एक ईमेल में या किसी वेबसाइट पर विशेष रूप से तैयार किए गए लिंक पर क्लिक करने की आवश्यकता होती है, और टोकन चोरी हो सकता है।

“शून्य-क्लिक”

कुछ मामलों में, शोधकर्ताओं ने कहा, यह “शून्य-क्लिक” तरीके से किया जा सकता है, जो कि जैसा कि नाम से पता चलता है, इसके लिए लगभग कोई उपयोगकर्ता सहभागिता की आवश्यकता नहीं है। एक दुर्भावनापूर्ण वेबसाइट जो एक एम्बेड किए गए वेब पेज को छिपा रही है, वह किसी दुर्भावनापूर्ण ईमेल में एक लिंक के रूप में उसी अनुरोध को ट्रिगर कर सकती है जो किसी उपयोगकर्ता के टोकन को चुरा सकता है।

सौभाग्य से, शोधकर्ताओं ने किसी भी दुर्भावनापूर्ण दुरुपयोग को रोकने के लिए कमजोर Microsoft ऐप से मिल सकने वाले कई उप-डोमेन के रूप में पंजीकृत किया, लेकिन चेतावनी दी कि वहाँ अधिक हो सकता है।

Microsoft को अक्टूबर के अंत में सुरक्षा दोष का पता चला था और तीन सप्ताह बाद तय किया गया था।

Microsoft के प्रवक्ता ने कहा, “हमने इस रिपोर्ट में नवंबर में उल्लिखित अनुप्रयोगों के साथ समस्या का समाधान किया और ग्राहक संरक्षित रहे।”

यह पहली बार नहीं है जब Microsoft ने अपने लॉगिन सिस्टम में बग को ठीक करने का काम किया है। लगभग एक साल पहले, सॉफ्टवेयर और सेवाओं की दिग्गज कंपनी ने एक समान भेद्यता तय की थी जिसमें शोधकर्ताओं को अनुचित तरीके से कॉन्फ़िगर किए गए Microsoft उपडोमेन के रिकॉर्ड को बदलने और कार्यालय खाता टोकन चोरी करने की अनुमति दी गई थी।