Faille corrigée dans l’authentification, Microsoft offre 13 000$

Un chercheur en sécurité s'est vu récompensé par Microsoft suite à la faille qu'il a trouvée dans le système d'authentification Microsoft, qui permet à l'attaquant d'accéder aux comptes en ligne d'un utilisateur pour différents services : Outlook, Azure et Office. En guise de récompense, il a obtenu la somme de 13 000 dollars.

logo-microsoft7Wesley Wineberg de chez Synack avait découvert une faille CSRF dans l'authentification Microsoft OAuth, aujourd'hui c'est Jack Whitton qui a découvert une faille dans le système d'authentification principal.

La vulnérabilité touche l'authentification au travers des sites login.live.com, login.windows.com et login.microsoftonline.com, à cause d'un paramètre "wreply" qui contient une faille CSRF. Le paramètre permettant de gérer un jeton de connexion, il pourrait se trouver détourné vers l'attaquant qui pourrait alors profiter de l'ouverture de session initiée par l'utilisateur.

Deux jours après que Jack Whitton ait remonté l'information auprès de Microsoft, l'éditeur a corrigé la faille. Ceci remonte au 24 janvier dernier.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian has 1965 posts and counting.See all posts by florian

Une pensée sur “Faille corrigée dans l’authentification, Microsoft offre 13 000$

  • Un geste de reconnaissance appréciable de la part de Microsoft. En tout cas, cette petite histoire devrait rappeler à tout un chacun le caractère déterminant de la sécurisation informatique. Pour les entreprises, rien ne vaut les compétences des prestataires dédiés.

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.