Британский исследователь Джек Уиттон (Jack Whitton) в очередной раз сорвал большой куш. В 2013 году он уже получал от Facebook $20 000 за обнаружение уязвимости в системе SMS-оповещений. Теперь Уиттон обнаружил в продукции Microsoft дыру, из-за которой в опасности оказались аккаунты пользователей Outlook, Azure и Office. За этот баг в системе аутентификации компания заплатила Уиттону $13 000.

Интересно, что проблема, которую заметил Уиттон, очень похожа на уязвимость в механизме аутентификации Live.com. О данной бреши в октябре 2015 года сообщил сотрудник компании Synack Уэсли Вайнберг (Wesley Wineberg), и эта находка принесла ему $24 000. Однако баг Вайнберга затрагивал только механизм Microsoft OAuth, тогда как уязвимость Уиттона распространяется на всю систему аутентификации в целом.

Чтобы пользоваться сервисами Outlook, Azure или Office, нужно иметь аккаунт на login.live.com, login.windows.net или login.microsoftonline.com. Если пользователь заходит на страницу outlook.office.com, он будет перенаправлен на login.microsoftonline.com, и запрос будет содержать параметр «wreply», который указывает, на какой именно домен нужно было попасть пользователю.

Если пользователь уже залогинен, то POST-запрос вернется к тому домену, который значится в «wreply», и будет содержать токен-логин этого пользователя. Сервис, в котором нужно авторизоваться пользователю, обработает данный токен, и пользователь войдет в систему.

Согласно сообщению Уиттона, URL, которые Microsoft использует для аутентификации, уязвимы перед атаками Cross-Site Request Forgery (CSRF). В итоге атакующий может перенаправить логин-токен пользователя на собственный сервер, а затем с его помощью получить доступ к аккаунту жертвы.

Уиттон поясняет, что токен от Outlook не подойдет для Azure. Однако исследователь считает, что атакующему не составило бы труда создать ряд вредоносных iframes, каждый из которых содержал бы URL для разных сервисов. Таким образом злоумышленник мог бы собрать разные токены.

Специалисты Microsoft устранили данную проблему два дня назад, а Уиттону выплатили $13 000 по программе bug bounty.

Фото: Jack Whitton

Оставить мнение