Операционные системы и приложения разработки Microsoft используются на миллионах компьютеров, работающих практически по всему миру. Многие пользователи привыкли полагаться не только на функциональность и удобство продуктов компании, но и на высокий уровень их информационной безопасности.

Однако в действительности все обстоит значительно сложнее. Исследование, проведенное индийским экспертом в сфере кибербезопасности Сахадом Нк (Sahad Nk), показало, что под угрозой взлома со стороны злоумышленников находится практически любая учетная запись Microsoft. Заказчиком исследования выступила известная компания SafetyDetective, на сайте которой и был опубликован отчет.

При проведении своего исследования эксперт выступил в роли хакера, стремящегося получить доступ к аккаунтам пользователей Microsoft. Причем для достижения этой цели он пошел не стандартным путем атаки самих аккаунтов, а сосредоточил свои усилия непосредственно поставщике услуг. В частности, Сахад Нк решил взломать поддомен success.office.com, который принадлежит компании Microsoft. Для этого ему потребовалось выполнить всего 7 шагов.

Как выяснилось, поддомен имеет уязвимость, связанную с его неправильной конфигурацией. Благодаря этому «хакер» сумел получить доступ к части поддомена, которая принимает участие в авторизации программных продуктов Microsoft, включая такие популярные, как Office, Outlook и многие другие.

После этого жертве взлома на электронную почту отправляется письмо, содержащее фишинговую ссылку. Учитывая, что письмо направляется с адреса, принадлежащего Microsoft, оно не отсеивается спам-фильтрами. Кроме того, чисто визуально такое письмо практически невозможно определить, как мошенническое. При переходе пользователя по фишинговой ссылке, содержащейся в письме, он автоматически передает хакеру специальный ключ, позволяющий ему без проблем войти в аккаунт жертвы. Каких-либо дополнительных данных для этого злоумышленнику уже не требуется.

Сообщается, что эксперимент продолжался в течение нескольких месяцев. В целях безопасности результаты исследования были первоначально направлены в компанию Microsoft. Только после того, как она провела устранение обнаруженной уязвимости, компания SafetyDetective опубликовала результаты исследования, проведенного экспертом Сахадом Нк.