Ir al contenido principal

Microsoft ha pagado 13000€ a un investigador.

The Hacker News
THEhackeNEWS

Un investigador de seguridad ha ganado $ 13.000 como recompensa de Microsoft por encontrar una falla crítica en su sistema principal de autenticación que podría permitir a los hackers el acceso a las cuentas de Outlook, Azure y Office de un usuario ajeno.

La vulnerabilidad ha sido descubierta por el consultor de seguridad en el Reino Unido Jack Whitton y es similar a (Cross-Site Request Falsificación) OAuth CSRF de Microsoft en Live.com descubierto por el investigador de seguridad SynAck Wesley Wineberg.

Sin embargo, la principal y la única diferencia entre las vulnerabilidades  es: Un error descubierto por Wineberg afecta mecanismo de protección de OAuth de Microsoft, mientras que la descubierta por Whitton afectados sistema de autenticación principal de Microsoft.
¿Cómo funciona la vulnerabilidad?
Si el usuario particular, ya ha iniciado sesión, una solicitud POST se hace de nuevo al dominio especificado en Wreply con un valor que contiene un token de inicio de sesión para el usuario. El servicio que el usuario desea autenticarse en ese token consume y registra el usuario en.
De acuerdo con Whitton, la URL de autenticación proporcionado por Microsoft es vulnerable a múltiples sitios de falsificación de petición ataques (CSRF).
Los ataques CSRF podrían permitir a un atacante crear una URL maliciosa, que, cuando se accede por un usuario ya autenticado, enviaría la señal de inicio de sesión al servidor controlado por el atacante.
Ahora, con la ayuda de la clave, el atacante podría obtener acceso completo a la cuenta de la víctima.
"El token es válida sólo para el servicio que lo haya expedido - un token de Outlook no se puede utilizar para Azure, por ejemplo," Whitton señaló en su blog. "Pero sería lo suficientemente simple para crear varios iframes ocultos, cada uno con la URL de inicio de sesión para establecer un servicio diferente, y la cosecha tokens de esa manera."
La buena noticia es que Microsoft corrigió la vulnerabilidad dentro de los dos días después de Whitton lo reportó a la empresa el 24 de enero, la compañía pagó $ 13,000 a la investigadora como parte de su programa de recompensas de errores.
Etiquetas:

Entradas populares de este blog

Robar claves encriptadas en Android & iOS

A diferencia de los escritorios, los dispositivos móviles llevan todo tipo de información de sus correos electrónicos personales a sus datos financieros sensibles. Y debido a esto, los  hackers  han cambiado su interés por los escritorios hacia  la plataforma móvil.  Cada semana nuevos exploits que se descubren para iOS y para la plataforma Android , la mayoría de las veces por separado, pero el recientemente descubierto  exploit , tiene como objetivo  Android y  dispositivos IOS. EL equipo de investigadores de seguridad de la Universidad de Tel Aviv, Technion y la Universidad de Adelaida ha ideado un ataque para robar mediante   la tecnica de la criptográfica ,  asi responder a esta  vulnerabilidad  y  para proteger keys, carteras Bitcoin, cuentas de pago de Apple, y otros servicios altamente sensibles de los dispositivos Android y iOS. El mes pasado, el equipo demostró cómo robar datos sensibles d...
Leer más

Anuncios en el bloqueador de pantalla de Windows 10.

Si  has actualizado  tu versión anterior del sistema operativo Windows 10, entonces puede haber notado un anuncio que aparece en el escritorio o pantalla de bloqueo del ordenador portátil durante estos últimos par de días. Sí, esto es lo que Microsoft ha optado por generar ingresos después de ofrecer libre de Windows 10 Descargar a sus usuarios: Monetizar la pantalla de bloqueo . Gracias a la nueva función Spotlight de Windows 10 que por lo general se muestra fotografías de un bonito paisaje y de los datos interesantes sobre la pantalla de bloqueo, pero los anuncios que muestran ahora iniciadas toover 200 millones de dispositivos con Windows 10. Algunos usuarios de Windows 10 han informado de ver anuncios de Rise of the Tomb Raider con enlaces a la tienda de Windows desde donde los usuarios pueden comprar el videojuego. Microsoft empezó a vender este juego el mes pasado. Los anuncios son a causa de la función Spotlight de Windows en l...
Leer más

Un ataque ransomware pone en riesgo a los pacientes de un hospital.

thehackernews Apenas la semana pasada, la Oficina Federal de Investigaciones (FBI) emitió un mensaje urgente "flash" para las empresas y organizaciones sobre la amenaza de Samsam ransomware , pero el ransomware ya ha causado estragos en algunas infraestructuras críticas. MedStar , un grupo sin fines de lucro que hace funcionar 10 hospitales en el área de Baltimore y Washington, fue atacado con Samsam , también conocido como Samas y MSIL , la semana pasada,  encripta los datos sensibles de los hospitales. Después de poner en peligro el sistema médico de MedStar , los operadores del ransomware ofrecieron un trato mayor: 45 bitcoins (alrededor de US $ 18.500) para las claves de descifrado así desbloquear todos los sistemas infectados.    Pero a diferencia de otras empresas u hospitales, MedStar no pagó el rescate para entretener a los piratas informáticos. Por lo tanto, tu podrías  pensar en que los hospitales pierden todos su...
Leer más