Mashablen mukaan kyberturvatutkijana työskentelevä Nk havaitsi, että hän sai kaapattua Microsoftin alidomain success.office.comin haltuunsa, koska sitä ei oltu konfiguroitu oikein.

Nk kehitti Azure-verkkosovelluksen, joka ohjasi liikenteensä alidomainin cnameen, nimipalvelun tietueeseen. Cname pitää yllä karttaa domainin aliaksista sekä alidomaineista. Sovelluksensa avulla Nk iski cname-tiedostoon ja sai sitä kautta koko Microsoftin alidomainin haltuunsa.

Tämä tarkoitti myös kaikkea sen läpi kulkevaa liikennettä.

Nk ei tyytynyt tähän, vaan selvitti miten alidomainia voitaisiin käyttää muiden haavoittuvuuksien löytämiseen.

Kauaa ei tarvinnut etsiä.

Kun Microsoft-tilin käyttäjä kirjautuu Officeen, Outlookiin, Storeen tai Sway-sovellukseen, ne lähettävät varmennetietoja juurikin success.office.com -alidomainiin. Kun Microsoft-käyttäjä kirjautuu Microsoft Liveen login.live.com-sivuston kautta, myös sen varmennetiedot vuotavat kyseiselle alidomainille.

Koska alidomain oli Nk:n hallussa, hänellä oli harvinaisen hyvä sauma melkoiselle konnuudelle.

Jos Nk olisi ollut hyökkääjä, hänen olisi vain tarvinnut lähettää kirjautuvalle käyttäjälle sähköpostia suoraan Microsoftin omalta palvelimelta, ja pyytää tätä klikkaamaan mukana olevaa linkkiä.

Vipuun lankeava käyttäjä päästäisi Nk:n käsiksi uhrin koko Microsoft-tiliin, sähköposteineen, Office-tiedostoineen päivineen.

Koska täysin autenttisen näköinen viesti olisi helppo laatia, ja koska se tulisi suoraan Microsoftilta, ei edes vainoharhaisella vastaanottajalla olisi syytä epäillä mitään. Samoista syistä kikkailu menisi myös täysin läpi kaikista phishing-suodattimista.

Kärsivällinen hyökkääjä olisi voinut lymytä alidomainilla aikansa, ja hiljalleen uhrien määrä olisi kasvanut satoihin miljooniin.

Nk:n työnantaja SafetyDetective kertoo, että Nk ilmoitti löydöksestään Microsoftille kesäkuussa 2018, ja yhtiö tilkitsi vakavat haavoittuvuudet marraskuussa.