Microsoftアカウント、不適切なOAuthの設定のため第三者がアカウントに不正にアクセスできる状態になっていた 5
ストーリー by hylom
OAuthの罠 部門より
OAuthの罠 部門より
Anonymous Coward曰く、
MicrosoftアカウントやMicrosoft Azureアカウントなどで使われているOAuth 2.0認証で不適切な設定が行われており、その結果第三者がアカウントに不正にアクセスできる状況になっていたとのこと。すでにこの問題は修正済みだという(TechCrunch、Security NEXT、EnterpriseZine)。
この問題はBlackDirectと名付けられて実証コードも公開されている。
OAuth 2.0での認証時、認証を許可する「信頼済みドメイン」を記したホワイトリストに掲載されているURLやサブドメインの一部にMicrosoftが保有していないものが含まれており、それを第三者が取得できるようになっていたのが原因だという。
さっそく二段階認証が役に立ってなくてわらた (スコア:0)
99.9%防げるんじゃなかったのかよー。
とりあえず発見したのが悪い人じゃなくて良かったですね。
Unfortunately, additional security methods like Multi-factor Authentication (MFA) won’t help to mitigate the risk as the attackers are already passed the MFA approval process when they hijack the victims’ identity tokens.
Re:さっそく二段階認証が役に立ってなくてわらた (スコア:1)
だから五段階認証にしろとあれほど
Re: (スコア:0)
「この端末では二要素認証をしなくてよいようにする」のチェックボックスでの効果は永久にするのではなく時限を設けるべきなのだろうね
Re: (スコア:0)
悪い人というのは発見しても報告せすに悪用する人のこと。
だから悪い人に発見される前だったとは言えない。
Re: (スコア:0)
(気づかないまま or 気づいていながら)放置よりはマシだったと思うのは安易だろうか