Definitivamente Microsoft tiene muchísimo trabajo que hacer. Windows se ha vuelto tristemente famoso por sus múltiples fallos y bugs provocando incluso que se cancelen actualizaciones o que no se resuelvan algunos de hace años. Otro fallo de Windows ha sido descubierto (sí, otro más) y esta vez permite a casi cualquier hacker acceder a la cuenta de Office de alguien. Lo grave de este bug es que también puede ser explotado por usuarios.
El fallo que consigue que una cuenta de Office sea fácilmente hackeable
Este fallo ha sido encontrado por Sahad Nk, un cazador de bugs oriundo de la India. Sahad descubrió que un subdominio de Microsoft, “success.office.com” no estaba bien configurado. Así informan en Safety Detective. Al estar mal preparado, consiguió hackearlo. Utilizó un registro CNAME, un registro canónico que se utiliza para vincular un dominio con otro, para señalar el subdominio no configurado a su propia instancia de Azure. Al hacerlo, controló el subdominio y todos los datos que se le enviaron.
Esto implica que las aplicaciones de Windows como Office, Store y Sway podían configuradas de tal manera que enviasen su inicio de sesión a su dominio recién controlado después de que un usuario iniciase sesión a través del sistema de inicio de sesión en Windows. Es decir, que en el mismo momento en el que un usuario se logeaba, este atacante podía acceder a este inicio y obviamente coger todos sus datos. Todas estas aplicaciones vulnerables usan regulación estándar por lo que el subndominio puede ser clasificado como de confianza.
Cuando la víctima del hackeo hace clic en el enlace especialmente diseñado para correos electrónicos, iniciará sesión a través del sistema de inicio de sesión de Microsoft utilizando su nombre de usuario y contraseña, y el código de dos factores, si se configura, crea una llave de acceso a la cuenta para que la sesión se mantenga iniciada sin tener que ingresar otra vez. Conseguir esta llave equivale a conseguir sus credenciales, y permite que un atacante pueda logearse en la cuenta del usuario, sin alarmas ni avisos. Estas mismas llaves pusieron en riesgo más de 30 millones de cuentas de Facebook a principios de este año.
Pero es peor todavía. La URL usada está diseñada de esa manera para que el sistema de inicio de sesión de Microsoft pase la llave de acceso de la cuenta al subdominio controlado por el atacante. Ya que Sahad fue el que controló el dominio y reportó el error no hubo problema alguno, pero si el que hubiese controlado el subdominio fuera un atacante, miles de cuentas habrían estado comprometidas. Y lo que es peor, la URL maliciosa parecía legítima, porque el usuario aún se registra a través de los sistemas de Microsoft y el parámetro “wreply” en la URL tampoco parece sospechoso porque es un subdominio de Office.
Microsoft ha afirmado que solucionó el error el mes pasado. Recompensó a Sahad Nk, por lo que en teoría no deberíamos estar en peligro. El problema reside en que como en anteriores ocasiones se ha demostrado que cuando Microsoft arregla un exploit provoca otro, y podría haber más fallos de esta índole en el sistema. Por lo que tendremos que tener especial cuidado en nuestro ordenador a la hora de logearnos.