Roubo de tokens OAuth de contas Microsoft por meio de redirecionamento aberto no app Harvest

 (eval.blog)
1 pontos por GN⁺ 2023-10-23 | 1 comentários | Compartilhar no WhatsApp
  • Este artigo discute uma vulnerabilidade no Harvest, um software de controle de tempo que permite aos usuários conectar seu calendário do Outlook via OAuth.
  • A vulnerabilidade permitia roubar tokens OAuth de contas Microsoft conectadas por meio de um redirecionamento aberto no Harvest.
  • Quando a autorização é concluída com sucesso, o usuário é redirecionado para uma URL que redireciona ainda mais o usuário para a URL fornecida dentro do estado. Isso causa um redirecionamento aberto.
  • O redirecionamento aberto pode ser usado para roubar tokens de acesso por meio da concessão implícita.
  • A vulnerabilidade foi descoberta após conectar com sucesso ao calendário do Outlook usando o aplicativo OAuth.
  • A combinação do redirecionamento aberto com o fluxo de concessão implícita faz vazar o token de acesso para a URL redirecionada.
  • A equipe do Harvest reagiu lentamente à divulgação da vulnerabilidade, e levou 3 anos para corrigir o problema.
  • A empresa reconheceu a vulnerabilidade, mas não notificou o responsável pelo relato quando ela foi corrigida.
  • Este relatório foi divulgado publicamente em 21 de outubro de 2023.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-10-23
Comentários do Hacker News
  • O administrador do programa de bug bounty explica que não conseguiu reproduzir totalmente o problema e que, devido à confusão interna, pensou que ele havia sido resolvido.
  • Usuários do app Harvest expressam preocupação com a capacidade de engenharia da empresa, citando a falta de novos recursos e uma vulnerabilidade que permitia inferir clientes ativos.
  • Um comentarista aponta que a RFC 6749 descreve em detalhes como prevenir esse tipo de ataque e questiona por que o app Harvest não registrou uma redirect_uri maliciosa.
  • Outro comentarista critica o título por ser injusto com a Microsoft, argumentando que o token era do Harvest e que a exposição ocorreu por causa de uma vulnerabilidade no código do Harvest.
  • A concessão implícita é criticada pelos motivos mostrados na postagem, com a observação de que ela será omitida na futura especificação OAuth 2.1.
  • Um comentarista expressa choque com o fato de terem sido necessários três anos (agosto de 2020 - agosto de 2023) para corrigir a vulnerabilidade.
  • Um comentarista pede a um especialista em OAuth que explique esse problema com mais detalhes, pois está tendo dificuldade para entender a vulnerabilidade.
  • Um comentarista questiona por que esse problema não foi comunicado à Microsoft, sugerindo que o acesso ao aplicativo OAuth poderia ter sido revogado até que o problema fosse corrigido.
  • Um comentarista questiona por que a empresa esperou três anos para corrigir o problema, argumentando que 90 dias seriam suficientes antes de torná-lo público.
  • Um comentarista critica a HackerOne por permitir empresas que ignoram esse tipo de problema por três anos.