Исследователь компании Synack Уэсли Вайнберг (Wesley Weinberg) обнаружил уязвимость в сервисе Outlook.com, позволяющую злоумышленникам получить доступ ко всему содержимому почтового ящика жертвы. С помощью вредоносного приложения киберпреступник может обойти механизм аутентификации по OAuth.
Вайнберг создал PoC-приложение под названием Evil App для доказательства существования уязвимости. Как сообщается в блоге исследователя, программа способна получить доступ ко всему содержимому аккаунта. Для успешной эксплуатации уязвимости требуется, чтобы пользователь открыл вредоносную web-страницу. Дальнейших действий со стороны жертвы не требуется.
Исследователь уверен, что хакеры смогут проэксплуатировать уязвимость в целях создания почтового червя. Эксплуатирующее уязвимость вредоносное ПО сможет без ведома жертвы рассылать спам пользователям из его списка контактов. В сообщениях в таком случае будет указываться ссылка, перейдя по которой, получатели письма также окажутся подвержены действию вредоносного ПО.
Корпорация Microsoft устранила уязвимость в середине сентября нынешнего года. В рамках программы по обнаружению брешей Вайнберг получил $24 тысячи.
Источник: Securitylab.ru