Microsoft soluciona vulnerabilidad en Live y paga U$S24.000

Un investigador de seguridad ha ganado los U$S24.000 de parte Microsoft por encontrar una vulnerabilidad crítica de Cross-site Request Forgery (CSRF) en su sistema de autenticación Live.com que podría permitir a los atacantes obtener acceso a la cuenta completa de Outlook de un usuario o de otros servicios de Microsoft. La empresa recientemente tiene su programa de recompensas que permite este tipo de pagos.

Live.com es el sistema de autenticación por el cual pasan todos los usuarios al intentar autenticarse en Outlook.com y un gran número de otros servicios de Microsoft, como OneDrive, Windows Phone, Skype, Xbox LIVE, etc. Es un servicio de Single Sign On: el acceso a una cuenta brinda acceso a todos los servicios y utiliza el estándar de autenticación llamado OAuth.

OAuth es un estándar abierto de autenticación y autorización, que mantiene las contraseñas seguras en sitios de terceros y, en vez de compartir dicha contraseña, comparte un acceso especial llamado "Acces-token" para acceder a la aplicación.

Las autorizaciones de OAuth se realizan a través de un acceso a cada aplicación, en donde el usuario debe brindar su autorización expresa.

Sin embargo, el investigador de seguridad Synack Wesley Wineberg encontró un hack que le permitió eludir el mecanismo de protección de Microsoft OAuth usando una 'prueba de concepto'. Según la información técnica publicada por el investigador, la aplicación maliciosa del atacante puede efectivamente acceder completamente a la cuenta de la víctima y no requiere ninguna interacción del usuario.

Microsoft ya ha solucionado la vulnerabilidad y ha pagado al investigador.

Fuente: The Hacker News