Il team Safety Detective nei mesi scorsi si è messo alla ricerca di vulnerabilità presenti nei sistemi e nelle piattaforme gestite da Microsoft, individuandone alcune che, se sfruttate in modo coordinato da un malintenzionato, avrebbero permesso la raccolta delle credenziali relative a circa 400 milioni di utenti. I bug sono stati segnalati al gruppo di Redmond in giugno e la software house in novembre vi ha posto rimedio, scongiurando così il pericolo.
La vulnerabilità
La ricerca è stata condotta in collaborazione con Sahad Nk, esperto di sicurezza indiano, bug hunter di professione. Nel dettaglio, i servizi interessati dalla vulnerabilità sono risultati essere Sway (parte del pacchetto Office), Outlook e lo Store ufficiale di Microsoft.
Il primo dei problemi individuati è relativo al sottodominio success.office.com, ora disabilitato, ma che fino a pochi mesi fa reindirizzava il visitatore a una Web App di Azure attraverso il record CNAME (Canonical Name): “successcenter-msprod.azurewebsites.net”. Dopo aver verificato la sua inattività, i ricercatori sono stati in grado di far sì che il sottodominio puntasse a una loro risorsa, creando un’istanza con lo stesso nome attraverso Azure Portal. In questo modo, le informazioni veicolate mediante success.office.com potevano essere intercettate senza destare alcun tipo di sospetto nell’utente, poiché provenienti da un dominio ritenuto affidabile come “office.com”.
Questo perché tutti i domini *.office.com sono etichettati come trusted. In seguito all’autenticazione sul pannello login.live.com, le credenziali potevano essere trasmesse a success.office.com facendo leva sul parametro “wreply” incluso negli URL, supportato da Sway, Outlook e dallo Store di Microsoft. All’utente sarebbe stato sufficiente effettuare un click su un collegamento preparato ad hoc come quello riportato di seguito per vedere le proprie informazioni di autenticazione sottratte.
https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=13&rver=6.7.6643.0&wp=MBI_SSL&wreply=https%3a%2f%2fsuccess.office.com%2fen-us%2fstore%2fb%2fhome%3fwa%3dwsignin1.0&lc=1033&id=74335
L’indirizzo porta alla schermata di login su live.com, includendo il parametro “74335” relativo a Microsoft Store e il sottodominio “success.office.com” a cui inviare i token di autenticazione una volta completata la procedura. In questo modo, un malintenzionato avrebbe potuto entrare in possesso di un qualsiasi account, con conseguenze facilmente immaginabili.
Come già detto, il problema è stato risolto nel mese di novembre eliminando il record CNAME responsabile del reindirizzamento verso l’istanza Azure incriminata. Microsoft ha inoltre riconosciuto a Sahad Nk un compenso economico per il lavoro svolto, come previsto dal Bug Bounty Program.