Đánh cắp token OAuth của tài khoản Microsoft thông qua lỗ hổng chuyển hướng mở trong ứng dụng Harvest

 (eval.blog)
1 điểm bởi GN⁺ 2023-10-23 | 1 bình luận | Chia sẻ qua WhatsApp
  • Bài viết này thảo luận về một lỗ hổng trong Harvest, phần mềm theo dõi thời gian cho phép người dùng kết nối lịch Outlook của họ thông qua OAuth.
  • Lỗ hổng này cho phép đánh cắp token OAuth của các tài khoản Microsoft đã được kết nối thông qua lỗi chuyển hướng mở của Harvest.
  • Khi quá trình cấp quyền hoàn tất thành công, người dùng sẽ được chuyển hướng đến một URL tiếp tục chuyển hướng họ đến URL được cung cấp trong state. Điều này dẫn đến lỗ hổng chuyển hướng mở.
  • Lỗ hổng chuyển hướng mở có thể bị lợi dụng để đánh cắp access token thông qua cấp quyền ngầm định.
  • Lỗ hổng này được phát hiện sau khi sử dụng một ứng dụng OAuth để kết nối thành công với lịch Outlook.
  • Sự kết hợp giữa chuyển hướng mở và luồng cấp quyền ngầm định làm rò rỉ access token đến URL được chuyển hướng tới.
  • Nhóm Harvest phản hồi chậm với việc công bố lỗ hổng và mất 3 năm để khắc phục vấn đề này.
  • Công ty đã thừa nhận lỗ hổng nhưng không thông báo cho người báo cáo khi nó được sửa.
  • Báo cáo này đã được công khai vào ngày 21 tháng 10 năm 2023.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-10-23
Ý kiến trên Hacker News
  • Quản lý chương trình bug bounty giải thích rằng họ không thể tái hiện hoàn toàn vấn đề và do sự nhầm lẫn nội bộ nên đã nghĩ rằng sự cố đã được khắc phục.
  • Người dùng ứng dụng Harvest bày tỏ lo ngại về năng lực kỹ thuật của công ty, viện dẫn việc thiếu tính năng mới và lỗ hổng cho phép suy luận về các khách hàng đang hoạt động.
  • Một người bình luận chỉ ra rằng RFC 6749 mô tả chi tiết cách ngăn chặn kiểu tấn công này, và đặt câu hỏi vì sao ứng dụng Harvest lại không đăng ký redirect_uri độc hại.
  • Một người bình luận khác chê tiêu đề là không công bằng với Microsoft, cho rằng token là của Harvest và việc lộ lọt xuất phát từ lỗ hổng trong mã của Harvest.
  • Cơ chế implicit grant bị chỉ trích vì những lý do được nêu trong bài viết, kèm ghi chú rằng nó sẽ bị lược bỏ trong đặc tả OAuth 2.1 sắp tới.
  • Một người bình luận bày tỏ sự sốc trước việc mất ba năm (tháng 8/2020 - tháng 8/2023) để vá lỗ hổng.
  • Một người bình luận đề nghị một chuyên gia OAuth giải thích chi tiết hơn về vấn đề này vì họ gặp khó khăn trong việc hiểu lỗ hổng.
  • Một người bình luận đặt câu hỏi vì sao vấn đề này không được thông báo cho Microsoft, và gợi ý rằng có thể thu hồi quyền truy cập đối với các ứng dụng OAuth cho đến khi sự cố được khắc phục.
  • Một người bình luận thắc mắc vì sao công ty lại chờ ba năm mới giải quyết vấn đề này, cho rằng 90 ngày là đủ trước khi công khai.
  • Một người bình luận chỉ trích HackerOne vì cho phép một công ty phớt lờ kiểu vấn đề này trong suốt ba năm.