Γνωρίζουμε ότι η Microsoft χρησιμοποιεί το EntraID σαν καθολική υπηρεσία σύνδεσης. Αυτό που δεν γνωρίζαμε είναι ότι μεταδίδει τον κωδικό πρόσβασης ως απλό κείμενο.
Ο ερευνητής Keanu Nys από το Spotit στο Βέλγιο δημιούργησε μια πλατφόρμα ηλεκτρονικού “ψαρέματος” (phishing) από την επίσημη σελίδα σύνδεσης και μπορεί να αποκτήσει τα δεδομένα σύνδεσης οποιουδήποτε χρήστη.
Ο ερευνητής προσάρμοσε την σελίδα σύνδεση με CSS και μπόρεσε να καταγράψει ακόμα και τους ελέγχους ταυτότητας MFA. Φαίνεται λοιπόν ότι η Microsoft έχει κάνει πάρα πολλές “εκπτώσεις” που βλάπτουν την ασφάλεια για να έχει περισσότερες λειτουργίες, καθιστώντας έτσι ολόκληρο το σύστημα MFA εκτεθειμένο σε επιθέσεις ηλεκτρονικού “ψαρέματος” με το Microsoft ID.
Συγκεκριμένα, ο Nys έδειξε στην παρουσίασή του στο DEF CON 33 (2025) ότι οι χρήστες μπορούν να ξεγελαστούν εύκολα με μια απλή προσαρμογή CSS, προσαρμοσμένες γραμματοσειρές και εμφάνιση λίγων εικόνων στη σελίδα σύνδεσης.
Οι εισβολείς μπορούν να χρησιμοποιήσουν στη συνέχεια τον έλεγχο ταυτότητας Pass Through (PTA) για να ελέγξουν εάν τα δεδομένα πρόσβασης που έχουν καταγραφεί είναι έγκυρα. Αν έχουν καταγράψει, “κερδίζουν” ένα αναγνωριστικό περιόδου σύνδεσης το οποίο μπορούν να χρησιμοποιήσουν σε όλες τις υπηρεσίες της Microsoft (M365, OneDrive και άλλα).
Ακόμα και το MFA δεν αποτελεί εμπόδιο.
Όλες οι “απόπειρες ηλεκτρονικού “ψαρέματος” (phishing) φαίνεται να προέρχονται από το επίσημο domain της Microsoft.
Αυτό σημαίνει ότι δεν μπορούν να σταματήσουν από τείχη προστασίας, φίλτρα DNS και παρόμοια μέτρα ασφαλείας.
Είναι δύσκολο να φανταστεί κανείς πώς μπορεί η Microsoft να αποτρέψει αυτές τις επιθέσεις.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
