Microsoftアカウント、不適切なOAuth設定で第三者がアカウントに不正アクセス可能に
2019年12月9日 17:35
Anonymous Coward曰く、
MicrosoftアカウントやMicrosoft Azureアカウントなどで使われているOAuth 2.0認証で不適切な設定が行われており、その結果第三者がアカウントに不正にアクセスできる状況になっていたとのこと。すでにこの問題は修正済みだという(TechCrunch、Security NEXT、EnterpriseZine)。
この問題はBlackDirectと名付けられて実証コードも公開されている。
OAuth 2.0での認証時、認証を許可する「信頼済みドメイン」を記したホワイトリストに掲載されているURLやサブドメインの一部にMicrosoftが保有していないものが含まれており、それを第三者が取得できるようになっていたのが原因だという。