Microsoft a indiqué hier qu’une vulnérabilité au niveau de son système de connexion a été corrigée. Des experts en sécurité ont déclaré que cette faille pouvait être utilisée par des individus mal intentionnés pour accéder aux comptes en lignes des utilisateurs. Le bug au niveau du système de connexion de Microsoft a été découvert par les chercheurs en sécurité de la société israélienne de cybersécurité « CyberArk ».....Détails.......
Le bug au niveau du système de connexion de Microsoft a été découvert par les chercheurs en sécurité de la société israélienne de cybersécurité « CyberArk ». Il a été signalé à Microsoft fin octobre.
L’entreprise a également identifié des dizaines de sous-domaines non enregistrés connectés à certaines applications développées par Microsoft. Ces sous domaines peuvent être utilisée pour générer automatiquement des jetons d’accès sans nécessiter le consentement explicite de l’utilisateur.
Les chercheurs ont déclaré que certains sous domaine peuvent générer un jeton d’accès en incitant une victime à cliquer sur un lien spécialement conçu dans un courrier électronique ou sur un site.
Toutefois, cette pratique peut également se faire à la manière « zéro clic », c'est-à-dire sans aucune interaction de la part de l’utilisateur. Un site web malveillant comportant une page web masquée permettrait de voler les jetons de compte d’un utilisateur.
Ce n’est pas la première fois que Microsoft est obligé de corriger une vulnérabilité au niveau de son système de connexion.
Il y a un an, l’entreprise a dû corriger un bug similaire qui permettait de modifier les enregistrements d’un sous-domaine Microsoft mal configuré et de voler des jetons de compte Office.
Source IT Social
Vous nous aimez, prouvez-le....