Уязвимость в системе аутентификации сервисов Microsoft позволяла получить доступ к Outlook, Azure и Office

image

Теги: уязвимость, CSRF, Outlook, Microsoft

Компания выплатила обнаружившему уязвимость британскому эксперту $13 тыс.  

Microsoft выплатила британскому исследователю Джеку Уиттону (Jack Whitton) $13 тыс. за обнаружение уязвимости в общей системе аутентификации, позволяющей получить доступ к учетным записям в Outlook, Azure и Office.

В настоящее время авторизоваться в online-сервисах Microsoft можно, зайдя на login.live.com, login.windows.net или login.microsoftonline.com. Если пользователь вводит в строку поиска браузера outlook.office.com, он перенаправляется на URL-адрес login.microsoftonline.com, содержащий параметр wreply для уточнения, к какому именно домену пользователь пытается получить доступ.

После авторизации пользователя указанному в параметре wreply домену отправляется POST-запрос со значением, содержащим токен. Поскольку сервисы находятся на совершенно разных доменах, cookie-файлы использоваться не могут, и токен – единственное значение, необходимое для аутентификации пользователя. Злоумышленник может осуществить CSRF-атаку: используя вредоносный URL, перехватить токен уже аутентифицированного пользователя и с его помощью получить полный доступ к учетной записи.   

Токен действителен только для выпустившего его сервиса, то есть, токен Outlook не может использоваться для Azure. Тем не менее, злоумышленникам не составит труда создать множество скрытых плавающих фреймов с URL-адресами, настроенным для других сервисов, и собрать столько токенов, сколько нужно.

Уиттон сообщил Microsoft об уязвимости 24 января нынешнего года, и компания исправила ее в течение 48 часов
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.