ケーララ州に拠点を置くアプリケーション セキュリティ エンジニアが、Office 365 から Outlook 電子メールに至るまで、4 億を超える Microsoft ユーザーのアカウントをハッキングの危険にさらした一連の脆弱性を発見し、Microsoft からバグ報奨金を獲得しました。
サイバーセキュリティ ポータル Safetydetective.com でセキュリティ研究者として働いている Sahad NK 氏は、複数の脆弱性を発見しました。これらの脆弱性が連鎖すると、被害者が Microsoft Outlook、Microsoft Store、または Microsoft Sway アカウントをクリックするだけで攻撃者にアカウントを乗っ取られるようになります。リンク。
「これらの脆弱性を発見した後、私たちは責任ある開示プログラムを通じてマイクロソフトに連絡し、協力を開始しました」と安全探偵は火曜日に述べた。
この脆弱性は 6 月に Microsoft に報告され、11 月末までに修正されました。
「この脆弱性の概念実証は Microsoft Outlook と Microsoft Sway に対してのみ行われましたが、Microsoft Store を含むすべての Microsoft アカウントに影響を及ぼすことが予想されます」と Sahad 氏は述べています。
Sahad は、Microsoft のサブドメイン「success.office.com」が適切に構成されていないことを発見しました。彼はまた、Microsoft Office、Store、Sway 製品のバグも発見しました。
一連のバグが連鎖すると、ユーザーを騙してリンクをクリックさせるだけで、誰かの Microsoft アカウントにアクセスするための完璧な攻撃が作成されました。
TechCrunchは、「電子メール、文書、その他のファイルを含む、誰のOfficeアカウント、さらにはエンタープライズや企業のアカウントも、悪意のある攻撃者によって簡単にアクセスされる可能性があり、正規のユーザーと見分けることはほぼ不可能だったろう」と述べた。
Sahad 氏は、セキュリティ研究者仲間の Paulos Yibelo 氏の協力を得て、このバグを Microsoft に報告しました。Microsoft は脆弱性を修正し、バグ報奨金として不特定の金額を Sahad 氏に与えました。
いくつかのテクノロジー企業はバグ報奨金のインセンティブを提供しています。サハド氏は昨年、ソーシャルネットワーキングプラットフォームのバグを発見したとしてフェイスブックからバグ報奨金も受け取った。
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
