Robo de tokens OAuth de cuentas de Microsoft mediante una redirección abierta en la app Harvest

 (eval.blog)
1 puntos por GN⁺ 2023-10-23 | 1 comentarios | Compartir por WhatsApp
  • Este artículo analiza una vulnerabilidad en Harvest, un software de seguimiento de tiempo que permite a los usuarios conectar su calendario de Outlook mediante OAuth.
  • La vulnerabilidad permitía robar los tokens OAuth de cuentas de Microsoft conectadas a través de una redirección abierta en Harvest.
  • Una vez que la autorización se completaba correctamente, el usuario era redirigido a una URL que a su vez lo redirigía adicionalmente a la URL proporcionada dentro del estado. Esto provoca una redirección abierta.
  • La redirección abierta puede usarse para robar tokens de acceso mediante la concesión implícita.
  • Esta vulnerabilidad fue descubierta después de conectarse correctamente al calendario de Outlook usando la aplicación OAuth.
  • La combinación de la redirección abierta y el flujo de concesión implícita filtra el token de acceso hacia la URL redirigida.
  • El equipo de Harvest respondió lentamente a la divulgación de la vulnerabilidad y tardó 3 años en resolver el problema.
  • La empresa reconoció la vulnerabilidad, pero no notificó al reportero cuando fue corregida.
  • Este informe se divulgó públicamente el 21 de octubre de 2023.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-10-23
Opiniones de Hacker News
  • El administrador del programa de recompensas por errores explica que no pudo reproducir completamente el problema y que, debido a una confusión interna, pensó que ya se había resuelto.
  • Usuarios de la app Harvest expresan preocupación por la capacidad de ingeniería de la empresa, citando la falta de nuevas funciones y una vulnerabilidad que permitía inferir clientes activos.
  • Un comentarista señala que la RFC 6749 detalla cómo prevenir este tipo de ataque y se pregunta por qué la app Harvest no registró un redirect_uri malicioso.
  • Otro comentarista critica que el título es injusto con Microsoft, argumentando que el token pertenecía a Harvest y que la exposición se debió a una vulnerabilidad en el código de Harvest.
  • En la publicación se critica el flujo implícito por las razones mostradas, junto con una nota de que será omitido en la próxima especificación OAuth 2.1.
  • Un comentarista expresa su sorpresa por el hecho de que tomó tres años (agosto de 2020 - agosto de 2023) corregir la vulnerabilidad.
  • Un comentarista le pide a algún experto en OAuth que explique este problema con más detalle, ya que le cuesta entender la vulnerabilidad.
  • Un comentarista se pregunta por qué este problema no fue reportado a Microsoft y sugiere que se pudo haber revocado el acceso a las aplicaciones OAuth hasta que se resolviera.
  • Un comentarista cuestiona por qué la empresa esperó tres años para resolver este problema y sostiene que 90 días habrían sido suficientes antes de hacerlo público.
  • Un comentarista critica a Hackerone por permitir que una empresa ignore este tipo de problemas durante tres años.