Según los especialistas en seguridad de aplicaciones web , una vulnerabilidad recientemente revisada en el sistema de inicio de sesión de Microsoft Outlook podría haber sido explotada para engañar a algunos usuarios para que otorguen a los hackers acceso total a sus cuentas en línea.
Gracias a la presencia de esta vulnerabilidad, los actores de amenazas pudieron extraer inadvertidamente tokens de acceso para poder acceder a las cuentas de las víctimas sin tener que volver a ingresar una contraseña.
Estos tokens son creados por aplicaciones o sitios web y se usan en lugar de nombres de usuario y contraseñas después de que los usuarios se hayan autenticado por primera vez, lo que permite una conexión permanente al sitio web y el acceso a aplicaciones web de terceros sin tener que entregar sus contraseñas allí también.
Los expertos en seguridad de aplicaciones web a cargo del informe mencionan que Microsoft Outlook dejó un vacío de seguridad que, si es explotado, podría ser utilizado por piratas informáticos para redirigir estos tokens de acceso sin que las víctimas puedan notar esta actividad maliciosa.
Los expertos informaron docenas de subdominios no registrados conectados a algunas aplicaciones desarrolladas por Microsoft, que son altamente confiables y cuyos subdominios asociados pueden generar tokens de acceso automáticamente y sin el consentimiento de los usuarios.
Con estos subdominios, un actor de amenazas solo requiere engañar al usuario para que haga clic en un enlace especialmente creado, adjunto a un correo electrónico o dentro de un sitio web, para extraer el token de acceso.
Lo más preocupante es que los especialistas en seguridad de aplicaciones web dicen que esto podría lograrse con la mínima interacción de los usuarios, ya que un sitio web malicioso podría desencadenar inadvertidamente una solicitud equivalente a un clic en un enlace, logrando el robo del token del usuario de la misma manera.
La buena noticia es que los subdominios no registrados ya se han informado a Microsoft, lo que evitará su uso malicioso. Sin embargo, los expertos señalan que aún se pueden encontrar más de estos subdominios. El informe se emitió en octubre y la compañía corrigió la falla unos veinte días después. Ya se han encontrado algunos defectos de seguridad en el sistema de inicio de sesión de Microsoft.
El año pasado, los especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) informaron que la compañía corrigió una falla de seguridad que permitía a los piratas informáticos alterar los registros de un subdominio de Microsoft para extraer tokens de acceso.