Ir al contenido principal

Microsoft ha pagado 13000€ a un investigador.

The Hacker News
THEhackeNEWS

Un investigador de seguridad ha ganado $ 13.000 como recompensa de Microsoft por encontrar una falla crítica en su sistema principal de autenticación que podría permitir a los hackers el acceso a las cuentas de Outlook, Azure y Office de un usuario ajeno.

La vulnerabilidad ha sido descubierta por el consultor de seguridad en el Reino Unido Jack Whitton y es similar a (Cross-Site Request Falsificación) OAuth CSRF de Microsoft en Live.com descubierto por el investigador de seguridad SynAck Wesley Wineberg.

Sin embargo, la principal y la única diferencia entre las vulnerabilidades  es: Un error descubierto por Wineberg afecta mecanismo de protección de OAuth de Microsoft, mientras que la descubierta por Whitton afectados sistema de autenticación principal de Microsoft.
¿Cómo funciona la vulnerabilidad?
Si el usuario particular, ya ha iniciado sesión, una solicitud POST se hace de nuevo al dominio especificado en Wreply con un valor que contiene un token de inicio de sesión para el usuario. El servicio que el usuario desea autenticarse en ese token consume y registra el usuario en.
De acuerdo con Whitton, la URL de autenticación proporcionado por Microsoft es vulnerable a múltiples sitios de falsificación de petición ataques (CSRF).
Los ataques CSRF podrían permitir a un atacante crear una URL maliciosa, que, cuando se accede por un usuario ya autenticado, enviaría la señal de inicio de sesión al servidor controlado por el atacante.
Ahora, con la ayuda de la clave, el atacante podría obtener acceso completo a la cuenta de la víctima.
"El token es válida sólo para el servicio que lo haya expedido - un token de Outlook no se puede utilizar para Azure, por ejemplo," Whitton señaló en su blog. "Pero sería lo suficientemente simple para crear varios iframes ocultos, cada uno con la URL de inicio de sesión para establecer un servicio diferente, y la cosecha tokens de esa manera."
La buena noticia es que Microsoft corrigió la vulnerabilidad dentro de los dos días después de Whitton lo reportó a la empresa el 24 de enero, la compañía pagó $ 13,000 a la investigadora como parte de su programa de recompensas de errores.
Etiquetas:

Entradas populares de este blog

Robar claves encriptadas en Android & iOS

A diferencia de los escritorios, los dispositivos móviles llevan todo tipo de información de sus correos electrónicos personales a sus datos financieros sensibles. Y debido a esto, los  hackers  han cambiado su interés por los escritorios hacia  la plataforma móvil.  Cada semana nuevos exploits que se descubren para iOS y para la plataforma Android , la mayoría de las veces por separado, pero el recientemente descubierto  exploit , tiene como objetivo  Android y  dispositivos IOS. EL equipo de investigadores de seguridad de la Universidad de Tel Aviv, Technion y la Universidad de Adelaida ha ideado un ataque para robar mediante   la tecnica de la criptográfica ,  asi responder a esta  vulnerabilidad  y  para proteger keys, carteras Bitcoin, cuentas de pago de Apple, y otros servicios altamente sensibles de los dispositivos Android y iOS. El mes pasado, el equipo demostró cómo robar datos sensibles d...
Leer más

Sacan una version de windows 10 solo para china.

Fuente Imagen:  TheHackerNews China es muy estricta en cuanto a la censura, lo que hace que sea difícil para las empresas lanzar sus productos en el país. Sin embargo, empresas como Microsoft juego con inteligencia para dirigirse al mercado más grande en el mundo, China. Microsoft ha encontrado una manera de entrar en el mercado chino prohibido, pero esta vez con el apoyo oficial del Gobierno chino a través de una nueva costumbre y es ni más ni menos que una exclusiva versión de Windows 10 para China. Suena como si Microsoft no tuviese problemas como Apple, que se negó firmemente la orden judicial para crear una versión especial 'GovtOS' para ayudar a los federales con el desbloqueo de aquel iPhone. Bueno espero que os acordeis, sino aqui os dejo la entrada : Apple y el problema del iPhone El CEO de Microsoft  de la Gran China Ralph Haupter ha confirmado que la compañía ha construido una versión aprobada por el gobierno chino de Windows 10 OS "que incluye más contr...
Leer más

Anuncios en el bloqueador de pantalla de Windows 10.

Si  has actualizado  tu versión anterior del sistema operativo Windows 10, entonces puede haber notado un anuncio que aparece en el escritorio o pantalla de bloqueo del ordenador portátil durante estos últimos par de días. Sí, esto es lo que Microsoft ha optado por generar ingresos después de ofrecer libre de Windows 10 Descargar a sus usuarios: Monetizar la pantalla de bloqueo . Gracias a la nueva función Spotlight de Windows 10 que por lo general se muestra fotografías de un bonito paisaje y de los datos interesantes sobre la pantalla de bloqueo, pero los anuncios que muestran ahora iniciadas toover 200 millones de dispositivos con Windows 10. Algunos usuarios de Windows 10 han informado de ver anuncios de Rise of the Tomb Raider con enlaces a la tienda de Windows desde donde los usuarios pueden comprar el videojuego. Microsoft empezó a vender este juego el mes pasado. Los anuncios son a causa de la función Spotlight de Windows en l...
Leer más