Новости и события » Общество » Уязвимость в системе авторизации Microsoft позволяет взламывать учетные записи

Уязвимость в системе авторизации Microsoft позволяет взламывать учетные записи

Уязвимость в системе авторизации Microsoft позволяет взламывать учетные записи

Исследователи безопасности из израильской компании CyberArk обнаружили уязвимость в облачном сервисе Microsoft Azure. Проблема затрагивает определенные приложения, использующие протокол авторизации Microsoft OAuth 2.0, и ее эксплуатация позволяет создавать токены для входа в систему. Таким образом злоумышленники могут перехватить контроль над учетными записями жертв и действовать от их имени.

Специалисты обнаружили несколько приложений Azure, выпущенных Microsoft, которые уязвимы для атак такого типа. Если злоумышленник получит контроль над доменами и URL-адресами, которым доверяет Microsoft, данные приложения позволят ему обманом заставить жертву автоматически генерировать токены доступа с разрешениями пользователя. Преступнику достаточно использовать простые методы социальной инженерии, чтобы заставить жертву нажать на ссылку или зайти на вредоносный web-сайт. В некоторых случаях атаку можно осуществить без взаимодействия с пользователем. Вредоносный web-сайт, скрывающий встроенную страницу, может автоматически вызвать запрос для кражи токена учетной записи пользователя.

Подобные приложения имеют преимущество на другими, поскольку они автоматически одобрены в любой учетной записи Microsoft и, следовательно, не требуют согласия пользователя для создания токенов. Программы невозможно удалить с портала одобренных приложений, а некоторые и вовсе не отображаются.

Специалисты сообщили об уязвимости Microsoft в конце октября, и компания исправила ее спустя три недели.

Microsoft


Выборы президента Украины онлайн: в Минцифры объяснили,...

Выборы президента Украины онлайн: в Минцифры объяснили, когда это станет возможным

Нужно изменить цифровой "менталитет" украинцев, говорит Михаил Федоров Следующие выборы президента Украины, которые должны пройти в 2024 году, могут состояться уже онлайн, а не бумажными бюллетенями. Об этом вице-премьер - министр цифровой подробнее ...


загрузка...


загрузка...

Актуальные новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото новостей, фото и видео. 0.0.0.1908276

Вверх