Microsoft corrige conta grave falha de segurança seqüestro

Microsoft tomou apenas 48 horas para corrigir uma falha crítica de autenticação de conta que permitia aos crackers usar fichas de login colhida.

O custo de ataques ransomware: $ 1 bilhão este ano; Chrome para iniciar conexões HTTP rotulagem como não segura; O Projeto Hyperledger está crescendo a todo o vapor; Agora você pode comprar um stick USB que destrói tudo em seu caminho

Segundo a British pesquisador de segurança Jack Whitton, a vulnerabilidade poderia ser explorada através de sites de phishing destinados a colher os tokens de login para contas e os dados posteriores do usuário compromisso.

Em um post no blog na segunda-feira, disse o pesquisador valores manipulação post poderia ser usado em ataques que representar usuários de produtos Microsoft.

A gigante de Redmond suporta um número de serviços on-line, que vão desde e-mail do Outlook para Azure. Quando os usuários desejam acessar esses serviços, eles precisam de entrada de suas credenciais e uma solicitação POST é enviada através do valor ‘Wreply’ no endereço do domínio, completo com um token de login para o usuário em questão. O token é então utilizado e consumido pelo processo de login.

Cookies não são usados ​​para autenticar como cada serviço está hospedado em um domínio separado. Portanto, somente um token é necessário – e se este valor pode ser punted ao servidor de um atacante, o usuário pode ser representado eo token usado para fazer login como a vítima em um cross-site falsificação ataque.

O pesquisador descobriu que por ajustes parâmetros de codificação de URL e analisar URLs, ele foi capaz de ignorar filtros diferentes que se destinam a evitar erros de autenticação.

Esta causa raiz do erro permite que atacantes para especificar uma URL arbitrária para POST tokens de autenticação e, por isso, se um atacante ganhou esses dados através de um site falso ou phishing, eles podem ganhar acesso completo a uma conta de usuário.

Enquanto o token é válido apenas para o serviço que o emitiu, como o Outlook, em vez de Azure e vice-versa, o pesquisador diz que seria uma simples questão de criar vários iframes escondidos com URLs de login definidos para diferentes serviços, a fim de colher vários tokens .

Whitton relatou o problema de segurança para a Microsoft no domingo 24. No final do dia, a equipe de segurança da Microsoft reconheceu a falha e foram capazes de emitir uma correção na terça-feira 26.

Como aumentar o seu lucro de mineração Bitcoin em 30 por cento com menos esforço; SMS Android raízes de malware e seqüestra seu dispositivo – a menos que você são russos; bounties de bugs:? Quais empresas oferecem pesquisadores de caixa; Shodan: A Internet das coisas privacidade motor de busca mensageiro; O que acontece quando você vazamento roubados dados bancários ao web escuro?

Este foi bastante divertido CSRF para encontrar e explorar “, disse Whitton.” Apesar de CSRF erros não ter a mesma credibilidade que outros bugs, quando descobertos em sistemas de autenticação de seu impacto pode ser bastante grande.

Leia mais: Top Picks

? Mercado M2M salta para trás no Brasil

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

Inovação;? Mercado M2M salta para trás no Brasil; Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; Segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; Segurança; Casa Branca nomeia primeiro Chefe Federal Information Security Officer

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal