Gracias a la presencia de esta vulnerabilidad, los actores de amenazas pudieron extraer tokens de acceso de forma inadvertida, por lo que podrían acceder a las cuentas de las víctimas sin necesidad de ingresar nuevamente una contraseña. Estos tokens son creados por aplicaciones o sitios web y se usan en lugar de nombres de usuario y contraseñas después de que los usuarios se han autenticado por primera vez, lo que permite una conexión permanente al sitio web y el acceso a aplicaciones web de terceros sin tener que entregar sus contraseñas ahí también.
Los expertos en seguridad de aplicaciones web encargados del reporte mencionan que Microsoft dejó un hueco de seguridad que, de ser explotado, podría ser empleado por hackers para desviar estos tokens de acceso sin que las víctimas pudieran notar esta actividad maliciosa.
Los expertos reportaron decenas de subdominios no registrados conectados a algunas aplicaciones desarrolladas por Microsoft, las cuales son altamente confiables y cuyos subdominios asociados pueden generar tokens de acceso de forma automática y sin consentimiento del usuario. Disponiendo de estos subdominios, un actor de amenazas sólo requiere engañar al usuario para que haga clic en un enlace especialmente creado, adjunto a un email o dentro de un sitio web, para extraer el token de acceso.
Lo más preocupante es que los especialistas en seguridad de aplicaciones web aseguran que esto podría lograrse con mínima interacción de los usuarios, pues un sitio web malicioso podría activar de manera inadvertida una solicitud equivalente a un clic en un enlace, logrando de igual forma el robo del token del usuario.
La buena noticia es que los subdmininos no registrados ya han sido reportados a Microsoft, que evitará su uso malicioso. No obstante, los expertos señalan que aún podrían ser encontrados más de estos subdominios. El reporte fue emitido en octubre y la compañía solucionó la falla alrededor de veinte días después.
Algunas fallas de seguridad ya habían sido encontradas en el sistema de inicio de sesión de Microsoft. El año pasado, especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) la compañía solucionó una falla de seguridad que permitía alterar los registros de un subdominio de Microsoft para extraer tokens de acceso.
Fuente: noticiasseguridad.com