16/12/2024

Actu Cybersécurité

Faille corrigée dans l’authentification, Microsoft offre 13 000$

Un chercheur en sécurité s'est vu récompensé par Microsoft suite à la faille qu'il a trouvée dans le système d'authentification Microsoft, qui permet à l'attaquant d'accéder aux comptes en ligne d'un utilisateur pour différents services : Outlook, Azure et Office. En guise de récompense, il a obtenu la somme de 13 000 dollars.

logo-microsoft7Wesley Wineberg de chez Synack avait découvert une faille CSRF dans l'authentification Microsoft OAuth, aujourd'hui c'est Jack Whitton qui a découvert une faille dans le système d'authentification principal.

La vulnérabilité touche l'authentification au travers des sites login.live.com, login.windows.com et login.microsoftonline.com, à cause d'un paramètre "wreply" qui contient une faille CSRF. Le paramètre permettant de gérer un jeton de connexion, il pourrait se trouver détourné vers l'attaquant qui pourrait alors profiter de l'ouverture de session initiée par l'utilisateur.

Deux jours après que Jack Whitton ait remonté l'information auprès de Microsoft, l'éditeur a corrigé la faille. Ceci remonte au 24 janvier dernier.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Faille corrigée dans l’authentification, Microsoft offre 13 000$

  • Un geste de reconnaissance appréciable de la part de Microsoft. En tout cas, cette petite histoire devrait rappeler à tout un chacun le caractère déterminant de la sécurisation informatique. Pour les entreprises, rien ne vaut les compétences des prestataires dédiés.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.