Microsoft „debesų“ tarnyba Office 365 turi kritinę spragą vartotojų autentifikacijos sistemoje, kuri kelia grėsmę vartotojų duomenų saugumui. Šią informaciją išplatino Noamas Liranas, kompanijoje Adallom dirbantis programinės įrangos architektūrų padalinio vadovu.
Office 365 iš vartotojo reikalauja paskyros autorizacijos, o siunčiant dokumentą iš tarnybos SharePoint sutikrinami vartotojo prisijungimo duomenys, siunčiant atitinkamus verifikacijos duomenis.
Pastarieji turėtų būti siunčiami tik tuo atveju, kai serveris yra domene sharepoint.com. Tačiau N. Liranas išsiaiškino, kad jei bus sukurtas nuosavas serveris, kuris veiktų kaip ir tikrasis SharePoint, vartotojo kompiuteris vis tiek į jį turės siųsti autentifikacijos duomenis.
„Dabar mano kenkėjiškas WEB serveris turi jūsų Office 365 autentifikacinius duomenis, ir aš galiu apsilankyti jūsų SharePoint puslapyje, atsisiųsti visus dokumentus, pakeisti juos arba atlikti kitus veiksmus. Jūs niekada apie tai nesužinosite. Tai idealus nusikaltimas“, – pareiškė N. Liranas.
Microsoft gana greitai sureagavo į publikuotą pažeidžiamumą ir išleido naują saugumo biuletenį. Kaip spraga gali būti išnaudota realybėje, N. Liranas pademonstravo specialiai sukurtame vaizdo klipe: