Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Microsoft trao thưởng 13.000 USD cho người phát hiện lỗ hổng trong cơ chế xác thực
Chuyên gia an ninh Jack Whitton vừa nhận giải thưởng 13.000 USD từ Microsoft cho phát hiện về lỗ hổng nghiêm trọng trong hệ thống xác thực phần mềm của hãng. Lỗ hổng này cho phép tin tặc chiếm quyền kiểm soát tài khoản Outlook, Azure và Office của người dùng.
Lỗ hổng được Jack Whitton phát hiện tương tự như CSRF (Cross-Site Request Forgery) OAuth trong Live.com của Microsoft được chuyên gia Wesley Wineberg (hãng an ninh Synack) phát hiện. Sự khác biệt chính và duy nhất giữa hai lỗ hổng đó là: lỗ hổng được Wineberg phát hiện ảnh hưởng tới cơ chế bảo vệ Oauth của Microsoft trong khi lỗ hổng Whitton phát hiện ảnh hưởng tới hệ thống xác thực chính.
Microsoft thực hiện việc xác thực cho các dịch vụ online bao gồm Outlook, Azure và Office qua các truy vấn được thực hiện với login.live.com, login.windows.net và login.microsoftonline.com.
Ví dụ, nếu người dùng truy cập vào outlook.office.com, sẽ được chuyển hướng tới một URL login.microsoftonline.com có chứa thông số ‘wreply’ cho việc xác định domain nào mà người dùng muốn truy cập.
Cách thức lỗ hổng hoạt động
Khi người dùng đăng nhập, một truy vấn POST được gửi lại domain bằng wreply với giá trị chứa một token đăng nhập cho người dùng. Dịch vụ mà người dùng muốn xác thực nhận token đó và tiến hành đăng nhập.
Theo Whitton, việc xác thực URL được Microsoft đưa ra là dễ dàng bị khai thác bởi bởi các cuộc tấn công CSRF. Theo đó, tin tặc có thể tạo một URL độc hại, mà khi người dùng đã xác thực truy cập, cuộc tấn công sẽ gửi token đăng nhập tới máy chủ được tin tặc kiểm soát. Từ đó, tin tặc có thể chiếm hoàn toàn việc truy cập vào tài khoản của nạn nhân.
“Token cho mỗi dịch vụ là duy nhất, ví dụ, token Outlook không thể sử dụng cho Azure. Tuy nhiên, việc tạo nhiều iframes, mỗi cái tương ứng với URL đăng nhập là tương đối dễ dàng, và tin tặc có thể thu thập các token theo cách đó”, Whitton cho biết.
Tin tốt là Microst đã vá lỗ hổng trong vòng 2 ngày sau khi Whitton thông báo vấn đề cho hãng vào ngày 24/1. Microsoft cũng trao thưởng 13.000 USD cho chuyên gia phát hiện lỗ hổng.
Lỗ hổng được Jack Whitton phát hiện tương tự như CSRF (Cross-Site Request Forgery) OAuth trong Live.com của Microsoft được chuyên gia Wesley Wineberg (hãng an ninh Synack) phát hiện. Sự khác biệt chính và duy nhất giữa hai lỗ hổng đó là: lỗ hổng được Wineberg phát hiện ảnh hưởng tới cơ chế bảo vệ Oauth của Microsoft trong khi lỗ hổng Whitton phát hiện ảnh hưởng tới hệ thống xác thực chính.
Microsoft thực hiện việc xác thực cho các dịch vụ online bao gồm Outlook, Azure và Office qua các truy vấn được thực hiện với login.live.com, login.windows.net và login.microsoftonline.com.
Ví dụ, nếu người dùng truy cập vào outlook.office.com, sẽ được chuyển hướng tới một URL login.microsoftonline.com có chứa thông số ‘wreply’ cho việc xác định domain nào mà người dùng muốn truy cập.
Cách thức lỗ hổng hoạt động
Khi người dùng đăng nhập, một truy vấn POST được gửi lại domain bằng wreply với giá trị chứa một token đăng nhập cho người dùng. Dịch vụ mà người dùng muốn xác thực nhận token đó và tiến hành đăng nhập.
Theo Whitton, việc xác thực URL được Microsoft đưa ra là dễ dàng bị khai thác bởi bởi các cuộc tấn công CSRF. Theo đó, tin tặc có thể tạo một URL độc hại, mà khi người dùng đã xác thực truy cập, cuộc tấn công sẽ gửi token đăng nhập tới máy chủ được tin tặc kiểm soát. Từ đó, tin tặc có thể chiếm hoàn toàn việc truy cập vào tài khoản của nạn nhân.
“Token cho mỗi dịch vụ là duy nhất, ví dụ, token Outlook không thể sử dụng cho Azure. Tuy nhiên, việc tạo nhiều iframes, mỗi cái tương ứng với URL đăng nhập là tương đối dễ dàng, và tin tặc có thể thu thập các token theo cách đó”, Whitton cho biết.
Tin tốt là Microst đã vá lỗ hổng trong vòng 2 ngày sau khi Whitton thông báo vấn đề cho hãng vào ngày 24/1. Microsoft cũng trao thưởng 13.000 USD cho chuyên gia phát hiện lỗ hổng.
Nguồn: The Hacker News