Trang chủ Tản mạn Microsoft thưởng $13000 cho người tìm ra lỗi bảo mật trong cơ...

Microsoft thưởng $13000 cho người tìm ra lỗi bảo mật trong cơ chế xác thực của mình

Một chuyên gia nghiên cứu bảo mật vừa được Microsoft thưởng $13000 cho việc người này đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong hệ thống xác thực do Microsoft xây dựng. Lỗ hổng này có thể giúp tin tặc có thể truy cập vào các tài khoản Outlook, Azure và Office của bất kỳ người dùng nào.

Lỗ hổng bảo mật này được phát hiện bởi Jack Whitton – chuyên viên tư vấn an ninh tại Anh. Lỗ hổng được mô tả tương tự như Microsoft OAuth CSRF (yêu cầu giả mạo Cross-Site) trong Live.Com đã được phát hiện bởi Synack nghiên cứu bảo mật Wesley Wineberg. Tuy nhiên khác biệt chính giữa các lỗ hổng là lỗ hổng của Wineberg ảnh hưởng đến cơ chế bảo vệ OAuth của Microsoft trong khi phát hiện của Whitton ảnh hưởng trực tiếp đến hệ thống xác thực chính của Microsoft.

microsoft-auth

Microsoft xử lý xác thực qua các dịch vụ trực tuyến của nó bao gồm cả Outlook, Azure và Office thông qua các yêu cầu thực hiện tại login.live.com, login.windows.net, và login.microsoftonline.com. Ví dụ, nếu người dùng truy cập outlook.office.com và chuyển hướng đến địa chỉ login.microsoftonline.com có chứa tham số ‘wreply’ để chỉ định để tên miền mà người dùng muốn truy cập. Lỗ hổng này được khai thác nếu như một người dùng đã đăng nhập, một lệnh POST được gửi lại với tên miền trong giá trị wrely chứa mã xác nhận (token) của người dùng và hacker có thể thực hiện thao tác lấy mã xác nhận này để truy cập vào các tài khoản từ dịch vụ của Microsoft.

Microsoft đã vá lỗ hổng trong vòng hai ngày sau khi Whitton gửi báo cáo cho công ty vào ngày 24/1. Và $13000 là số tiền mà Jack Whitton đã nhận được từ Microsoft.

Huỳnh Mai Anh Kiệt (Theo THN)

- Advertisement -
Huỳnh Mai Anh Kiệthttps://anhkiet.biz
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên cho Hura Apps - một startup nhỏ về công nghệ tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

10 Công Cụ Có Thể Thay Thế ChatGPT

ChatGPT là một mô hình ngôn ngữ lớn được phát triển bởi OpenAI. Nó cung cấp các câu trả lời nhanh chóng và ngắn...

Hướng Dẫn Đăng Ký Nhận Mã Giảm Giá Highland Coffee

Highland Coffee đang có nhiều chương trình khuyến mã cho khách hàng của mình. Các khuyến mãi có thể bao gồm upsize, mua 1...

Quà cuối năm 2022 từ Shopify

Năm nay nhận quà từ các đối tác công nghệ hơi bị nhiều. Mới đây mình lại nhận được quà từ Shopify. Quà về đúng...

Nhận quà từ đối tác công nghệ Recharge

Recharge là một trong những công ty chuyên cung cấp giải pháp bán hàng đăng ký định kỳ (subscription payments) cho các nền tảng...

Hướng dẫn tải video ngắn Facebook Reel miễn phí

Facebook Reels là tính năng video ngắn mới của Facebook. Nếu bạn muốn tải những video ngắn này của mọi người thì bạn có...

BẠN XEM CHƯA

PropellerAds – Thêm một lựa chọn mạng quảng cáo cho các Publisher

Quảng cáo Propeller là một mạng lưới quảng cáo đầy đủ và tự cung cấp dịch vụ công nghệ phân phối quảng cáo tối...

Thể hiện chuẩn hacker với Geek Typer

Mới đây trên một kênh truyền hình quốc gia có chia sẻ một phóng sự về một ngày làm việc ở Cục an toàn...

Sắp xếp lại các tập tin nhạc dễ dàng với Tags 2 Folders

Đối với các tập tin âm thanh thì các tag sẽ giúp ích rất nhiều trong việc sắp xếp lại các tập tin âm...

Chăm sóc máy tính toàn diện với Comodo PC TuneUp

Comodo nổi tiếng với các sản phẩm phần mềm chuyên về bảo mật. Mới đây hãng này vừa tung ra một sản phẩm mới...

Mã giảm giá 15% khi đăng ký hosting lưu trữ web tại 123HOST

Mạng Bình Định đang sử dụng dịch vụ tại 123Host (www.123host.vn) và thấy dịch vụ mà nhà cung cấp dịch vụ này rất tốt...