การขโมยโทเค็น OAuth ของบัญชี Microsoft ผ่านช่องโหว่ Open Redirect ในแอป Harvest

 (eval.blog)
1 คะแนน โดย GN⁺ 2023-10-23 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บทความนี้กล่าวถึงช่องโหว่ใน Harvest ซึ่งเป็นซอฟต์แวร์ติดตามเวลาที่ช่วยให้ผู้ใช้เชื่อมต่อปฏิทิน Outlook ของตนผ่าน OAuth ได้
  • ช่องโหว่นี้ทำให้สามารถขโมยโทเค็น OAuth ของบัญชี Microsoft ที่เชื่อมต่ออยู่ได้ผ่าน open redirect ของ Harvest
  • เมื่อการอนุญาตสำเร็จ ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยัง URL ที่จะเปลี่ยนเส้นทางผู้ใช้อีกครั้งไปยัง URL ที่ระบุไว้ใน state ส่งผลให้เกิด open redirect
  • Open redirect สามารถถูกใช้เพื่อขโมย access token ผ่าน implicit grant ได้
  • ช่องโหว่นี้ถูกค้นพบหลังจากเชื่อมต่อกับปฏิทิน Outlook สำเร็จโดยใช้แอปพลิเคชัน OAuth
  • การผสานกันของ open redirect และ implicit grant flow ทำให้ access token รั่วไหลไปยัง URL ปลายทางที่ถูกเปลี่ยนเส้นทาง
  • ทีม Harvest ตอบสนองต่อการเปิดเผยช่องโหว่ล่าช้า และใช้เวลาถึง 3 ปีในการแก้ไขปัญหานี้
  • บริษัทรับทราบถึงช่องโหว่นี้ แต่ไม่ได้แจ้งผู้รายงานเมื่อมีการแก้ไขแล้ว
  • รายงานนี้ถูกเปิดเผยต่อสาธารณะเมื่อวันที่ 21 ตุลาคม 2023

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-10-23
ความคิดเห็นบน Hacker News
  • ผู้ดูแลโปรแกรมบั๊กบาวน์ตีอธิบายว่าไม่สามารถทำซ้ำปัญหาได้ครบถ้วน และจากความสับสนภายในจึงคิดว่าปัญหาได้รับการแก้ไขแล้ว
  • ผู้ใช้แอป Harvest แสดงความกังวลต่อความสามารถด้านวิศวกรรมของบริษัท โดยอ้างถึงการขาดฟีเจอร์ใหม่และช่องโหว่ที่เปิดให้อนุมานลูกค้าที่ใช้งานอยู่ได้
  • ผู้แสดงความคิดเห็นรายหนึ่งชี้ว่า RFC 6749 อธิบายอย่างละเอียดถึงวิธีป้องกันการโจมตีประเภทนี้ และตั้งคำถามว่าทำไมแอป Harvest จึงไม่ได้ลงทะเบียน redirect_uri ที่เป็นอันตราย
  • ผู้แสดงความคิดเห็นอีกรายวิจารณ์ว่าพาดหัวไม่ยุติธรรมกับ Microsoft โดยยืนยันว่าโทเค็นเป็นของ Harvest และการรั่วไหลเกิดจากช่องโหว่ในโค้ดของ Harvest
  • implicit grant ถูกวิจารณ์จากเหตุผลที่แสดงไว้ในโพสต์ พร้อมหมายเหตุว่าจะถูกตัดออกจากข้อกำหนด OAuth 2.1 ที่กำลังจะมาถึง
  • ผู้แสดงความคิดเห็นรายหนึ่งแสดงความตกใจที่การแก้ไขช่องโหว่ใช้เวลาถึงสามปี (สิงหาคม 2020 - สิงหาคม 2023)
  • ผู้แสดงความคิดเห็นรายหนึ่งขอให้ผู้เชี่ยวชาญด้าน OAuth อธิบายปัญหานี้เพิ่มเติม เนื่องจากยังเข้าใจช่องโหว่นี้ได้ยาก
  • ผู้แสดงความคิดเห็นรายหนึ่งตั้งคำถามว่าทำไมจึงไม่แจ้ง Microsoft เกี่ยวกับปัญหานี้ โดยเสนอว่าน่าจะสามารถเพิกถอนการเข้าถึงของแอปพลิเคชัน OAuth ได้จนกว่าปัญหาจะได้รับการแก้ไข
  • ผู้แสดงความคิดเห็นรายหนึ่งตั้งคำถามว่าทำไมบริษัทถึงรอถึงสามปีกว่าจะจัดการปัญหานี้ และมองว่า 90 วันก็น่าจะเพียงพอก่อนเปิดเผยต่อสาธารณะ
  • ผู้แสดงความคิดเห็นรายหนึ่งวิจารณ์ Hackerone ที่ปล่อยให้บริษัทเพิกเฉยต่อปัญหาแบบนี้ได้นานถึงสามปี