Компания выплатила обнаружившему уязвимость британскому эксперту $13 тыс.
Microsoft выплатила британскому исследователю Джеку Уиттону (Jack Whitton) $13 тыс. за обнаружение уязвимости в общей системе аутентификации, позволяющей получить доступ к учетным записям в Outlook, Azure и Office.
В настоящее время авторизоваться в online-сервисах Microsoft можно, зайдя на login.live.com, login.windows.net или login.microsoftonline.com. Если пользователь вводит в строку поиска браузера outlook.office.com, он перенаправляется на URL-адрес login.microsoftonline.com, содержащий параметр wreply для уточнения, к какому именно домену пользователь пытается получить доступ.
После авторизации пользователя указанному в параметре wreply домену отправляется POST-запрос со значением, содержащим токен. Поскольку сервисы находятся на совершенно разных доменах, cookie-файлы использоваться не могут, и токен – единственное значение, необходимое для аутентификации пользователя. Злоумышленник может осуществить CSRF-атаку: используя вредоносный URL, перехватить токен уже аутентифицированного пользователя и с его помощью получить полный доступ к учетной записи.
Токен действителен только для выпустившего его сервиса, то есть, токен Outlook не может использоваться для Azure. Тем не менее, злоумышленникам не составит труда создать множество скрытых плавающих фреймов с URL-адресами, настроенным для других сервисов, и собрать столько токенов, сколько нужно.
Уиттон сообщил Microsoft об уязвимости 24 января нынешнего года, и компания исправила ее в течение 48 часовОдно найти легче, чем другое. Спойлер: это не темная материя