Trang chủ Tản mạn Microsoft thưởng $13000 cho người tìm ra lỗi bảo mật trong cơ...

Microsoft thưởng $13000 cho người tìm ra lỗi bảo mật trong cơ chế xác thực của mình

Một chuyên gia nghiên cứu bảo mật vừa được Microsoft thưởng $13000 cho việc người này đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong hệ thống xác thực do Microsoft xây dựng. Lỗ hổng này có thể giúp tin tặc có thể truy cập vào các tài khoản Outlook, Azure và Office của bất kỳ người dùng nào.

Lỗ hổng bảo mật này được phát hiện bởi Jack Whitton – chuyên viên tư vấn an ninh tại Anh. Lỗ hổng được mô tả tương tự như Microsoft OAuth CSRF (yêu cầu giả mạo Cross-Site) trong Live.Com đã được phát hiện bởi Synack nghiên cứu bảo mật Wesley Wineberg. Tuy nhiên khác biệt chính giữa các lỗ hổng là lỗ hổng của Wineberg ảnh hưởng đến cơ chế bảo vệ OAuth của Microsoft trong khi phát hiện của Whitton ảnh hưởng trực tiếp đến hệ thống xác thực chính của Microsoft.

microsoft-auth

Microsoft xử lý xác thực qua các dịch vụ trực tuyến của nó bao gồm cả Outlook, Azure và Office thông qua các yêu cầu thực hiện tại login.live.com, login.windows.net, và login.microsoftonline.com. Ví dụ, nếu người dùng truy cập outlook.office.com và chuyển hướng đến địa chỉ login.microsoftonline.com có chứa tham số ‘wreply’ để chỉ định để tên miền mà người dùng muốn truy cập. Lỗ hổng này được khai thác nếu như một người dùng đã đăng nhập, một lệnh POST được gửi lại với tên miền trong giá trị wrely chứa mã xác nhận (token) của người dùng và hacker có thể thực hiện thao tác lấy mã xác nhận này để truy cập vào các tài khoản từ dịch vụ của Microsoft.

Microsoft đã vá lỗ hổng trong vòng hai ngày sau khi Whitton gửi báo cáo cho công ty vào ngày 24/1. Và $13000 là số tiền mà Jack Whitton đã nhận được từ Microsoft.

Huỳnh Mai Anh Kiệt (Theo THN)

Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

- Advertisment -
Shopify

BÀI VIẾT MỚI

Nền tảng trực tuyến cho phép bạn thiết lập trang web chỉ trong vài phút

Bất kỳ doanh nghiệp nào hiện nay cũng đều cần một trang web. Tuy nhiên, không phải ai cũng có đủ chuyên môn kỹ...

Chuyên gia bảo mật người Việt phát hiện lỗ hổng bảo mật trên hệ điều hành Windows

Vừa qua, anh Lê Hữu Quang Linh (linhlhq) - chuyên gia bảo mật của Trung tâm Giám sát an toàn không gian mạng quốc...

Hẹn hò theo “phong cách nhà giàu” với Tesla Dating

Mới đây, tờ Business Insider vừa tiết lộ rằng một ứng dụng hẹn hò mang tên Tesla Dating sắp được ra mắt bởi Ajitpal...

Internet Explorer chính thức bị khai tử sau 25 năm

Trong bài đăng trên trang blog chính thức vào hôm thứ hai (17/8), Microsoft công bố họ sẽ không còn tiếp tục hỗ trợ...

PayPal lần đầu tiên bổ nhiệm giám đốc điều hành ở Trung Quốc

PayPal liên tiếp có những động thái cho thấy nền tảng thanh toán trực tuyến hàng đầu thế giới này sẽ tiếp cận thị...

BẠN XEM CHƯA

Hướng dẫn tạo thêm Widget Area trong WordPress

Hôm nay nhận 1 task có liên quan đến yêu cầu cần tạo thêm Widget Area nên sẵn tiện viết bài này để chia...

Kiểm tra độ an toàn của email có lộ thông tin

Mới đây Trung tâm ứng cứu khẩn cấp máy tính việt Nam (VNCERT) đã ghi nhận được số lượng lớn tài khoản sử dụng...

Công cụ so sánh mức tương đồng của 2 đoạn văn bản trực tuyến

Có rất nhiều công cụ hỗ trợ bạn so sánh độ tương đồng của 2 đoạn văn bản. Đa phần trong số đó là...

Banner chương trình Mùa hè xanh 2013 của Đoàn trường Đại học Quy Nhơn

Banner thiết kế cho chương trình Mùa hè xanh 2013 của Đoàn trường Đại học Quy Nhơn. Kích thước: 5m x 1m Định dạng: .PSD Dung lượng: 159...

Số phận

Hồi tôi cấp 3, thầy cô bảo tôi; không đỗ đại học thì chỉ có đi làm phụ hồ. Tôi cố gắng hết mình. Cuối cùng...