Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Reparan vulnerabilidad que secuestra cuentas en línea de Microsoft
Jack Whitton, investigador en seguridad, ha descubierto una falla grave de Cross Site Request Forgery que afecta al sistema de autenticación de Microsoft para servicios en línea.
La explotación exitosa de tal vulnerabilidad permitiría a los atacantes coleccionar tokens de acceso de otros usuarios y usarlos para suplantar usuarios de servicios de Microsoft. Redmond sólo tardó dos días en subsanar el problema de seguridad una vez que supieron sobre él.
"Microsoft, al ser una enorme compañía, tiene varios servicios dispersos entre múltiples dominios (*.outlook.com, *.live.com, entre otros). Para gestionar la autenticación entre estos servicios, las peticiones son enviadas a login.live.com, login.microsoftonline.com, y login.windows.net que proporcionan una sesión para el usuario", explicó Whitton en una entrada de blog.
Una vez que el usuario proporciona credenciales válidas para acceder, los tres dominios regresan una petición por el método POST que contiene el token de acceso para el usuario. El token es aceptado por el servicio y almacenado por el usuario.
Whitton descubrió que, con los parámetros codificados en la URL, podía eludir ciertos filtros que detectaban errores durante la autenticación y lograr que esa petición POST (junto con el token de acceso) fuera enviada a un sitio controlado por él. Con sólo reenviar el token concedido podía acceder a la cuenta de usuario.
Afortunadamente para Microsoft, el problema fue solucionado con un simple cambio en una regla para asegurar que el navegador sólo pueda enviar peticiones por el método POST al sitio previsto.
"Éste fue un CSRF muy divertido de encontrar y de explotar. A pesar de que los errores de Cross Site Request Forgery no tienen la misma credibilidad como otros errores, cuando son descubiertos en sistemas de autenticación su impacto puede ser muy grande", señaló Whitton.
El investigador reportó la cuestión a Microsoft a finales de enero. Su contribución fue reconocida por la compañía en su página del Cuadro de Honor de su programa de búsqueda de errores (en la sección de servicios en línea), y recibió $13,000 por encontrarlo e indicarlo.
