パスワードを忘れた? アカウント作成
14065393 story
バグ

Microsoftアカウント、不適切なOAuthの設定のため第三者がアカウントに不正にアクセスできる状態になっていた 5

ストーリー by hylom
OAuthの罠 部門より

Anonymous Coward曰く、

MicrosoftアカウントやMicrosoft Azureアカウントなどで使われているOAuth 2.0認証で不適切な設定が行われており、その結果第三者がアカウントに不正にアクセスできる状況になっていたとのこと。すでにこの問題は修正済みだという(TechCrunchSecurity NEXTEnterpriseZine)。

この問題はBlackDirectと名付けられて実証コードも公開されている

OAuth 2.0での認証時、認証を許可する「信頼済みドメイン」を記したホワイトリストに掲載されているURLやサブドメインの一部にMicrosoftが保有していないものが含まれており、それを第三者が取得できるようになっていたのが原因だという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年12月09日 14時15分 (#3728670)

    99.9%防げるんじゃなかったのかよー。
    とりあえず発見したのが悪い人じゃなくて良かったですね。

    Unfortunately, additional security methods like Multi-factor Authentication (MFA) won’t help to mitigate the risk as the attackers are already passed the MFA approval process when they hijack the victims’ identity tokens.

    • by Anonymous Coward on 2019年12月09日 20時41分 (#3728931)

      だから五段階認証にしろとあれほど

      親コメント
    • by Anonymous Coward

      「この端末では二要素認証をしなくてよいようにする」のチェックボックスでの効果は永久にするのではなく時限を設けるべきなのだろうね

    • by Anonymous Coward

      悪い人というのは発見しても報告せすに悪用する人のこと。
      だから悪い人に発見される前だったとは言えない。

    • by Anonymous Coward

      (気づかないまま or 気づいていながら)放置よりはマシだったと思うのは安易だろうか

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...