Casi seis meses ha tardado Microsoft en corregir dos vulnerabilidades que han puesto en riesgo nuestros datos

Casi seis meses ha tardado Microsoft en corregir dos vulnerabilidades que han puesto en riesgo nuestros datos
3 comentarios Facebook Twitter Flipboard E-mail

Cuando hablamos de seguridad en nuestros equipos, siempre pensamos en el router como el primer punto que debemos vigilar. Nos preocupamos de controlar la seguridad en nuestro entorno pero ¿qué ocurre cuando esta no depende de nosotros? Si el fallo viene dado por las empresas que nos prestan sus servicios poco podemos hacer.

Volvemos a referirnos a la seguridad en nuestros equipos y de nuevo por un fallo originado en las grandes empresas. Si hace poco era Google la que anunciaba un error que había puesto en riesgo la seguridad de millones de usuarios, ahora es Microsoft la que ha comunicado que los datos de los usuarios de Outlook, Microsoft Store... han estado expuestos ante posibles ataques.

Un error en el dominio success.office.com ha podido poner en riesgo a los usuarios de Microsoft. Es lo que ha descubierto el investigador Sahad Nk para Safety Detective, el cual ha sacado a la luz dos vulnerabilidades que han hecho que desde nuestros documentos de Office hasta los correos electrónicos de Outlook, puedan estar amenazados.

Seguridad

Al parecer, descubrió que el dominio antes citado no estaba configurado correctamente. Un fallo que permitía el que se pudiera configurar una aplicación web de Azure que apuntaba al registro CNAME del dominio, para asignar alias y subdominios de dominio al dominio principal. Esto le permitió tomar todo el control del dominio y sobre todo y lo que es más importante, tener acceso a todos los datos que se enviaban.

En ese momento se hizo eco de un segundo fallo de seguridad. Ya que las aplicaciones de Microsoft envían tokens de inicio de sesión autenticados al subdominio "http://success.office.com", en el momento en que un usuario iniciaba sesión en alguna aplicación, sus datos se enviaban hacia el servidor de Sahad. Y todo ello sin que los usuarios estuviesen al tanto de ello.

Ahora conocemos la existencia de estas dos vulnerabilidades, las cuales han sido ya corregidas por parte de Microsoft. Lo preocupante es el tiempo en el que estas han permanecido activas, los datos han podido estar en riesgo. Los errores fueron comunicados en junio y han sido solucionados en el mes de noviembre, por lo que han estado activos caso 6 meses.

Fuente | Safety Detective

Comentarios cerrados
Inicio