Het blijkt maar weer dat je als white hat-hacker goed geld kan verdienen. Beveiligingsonderzoeker Jack Whitton heeft een beveiligingslek ontdekt in de authenticatie van Azure, Office en Outlook waardoor kwaadwillenden op gebruikersaccounts konden inloggen. Microsoft betaalt Whitton 13.000 dollar voor het vinden van het lek, daarnaast is het lek binnen twee dagen gedicht.
Whitton heeft in een blog uiteen gezet dat hij een beveiligingslek heeft gevonden in de manier waarop Microsoft diensten laat inloggen op login.live.com en login.windows.net. Doordat Microsoft voor zijn diensten gebruik maakt van meerdere domeinnamen is het inloggen met cookies onmogelijk en worden er tokens gebruikt. Het webadres wordt tijdens het inloggen aangepast en voorzien van een parameter zodat duidelijk is op welke website er wordt ingelogd. Het token wordt vervolgens naar de juiste locatie gestuurd.
Het was echter mogelijk om met crosssite scripting een kwetsbaarheid te misbruiken en ko nde URL worden aangepast. De server ging niet helemaal correct om met de input die werd gegeven. Whitton kon op die manier toegang krijgen tot Microsoft-diensten die correspondeerde met onderschepte tokens.
Microsoft heeft dit probleem nu met de hulp van Whitton opgelost en zoals meer IT-giganten is Microsoft bereidt om hackers hiervoor te betalen, in dit geval 13.000 dollar. Dat is beter dan dat de beveiligingslekken worden verkocht aan bedrijven of personen met minder goede bedoelingen.
13 uur geleden
