Vol d’un jeton OAuth de compte Microsoft via une redirection ouverte dans l’application Harvest

 (eval.blog)
1 points par GN⁺ 2023-10-23 | 1 commentaires | Partager sur WhatsApp
  • Cet article traite d’une vulnérabilité dans Harvest, un logiciel de suivi du temps qui permet aux utilisateurs de connecter leur calendrier Outlook via OAuth.
  • Cette vulnérabilité permettait de voler le jeton OAuth d’un compte Microsoft connecté via la redirection ouverte de Harvest.
  • Une fois l’autorisation accordée avec succès, l’utilisateur est redirigé vers une URL qui le redirige ensuite vers l’URL fournie dans l’état. Cela entraîne une redirection ouverte.
  • La redirection ouverte peut être utilisée pour voler des jetons d’accès via l’autorisation implicite.
  • Cette vulnérabilité a été découverte après une connexion réussie au calendrier Outlook à l’aide de l’application OAuth.
  • La combinaison de la redirection ouverte et du flux d’autorisation implicite provoque l’exfiltration du jeton d’accès vers l’URL de redirection.
  • L’équipe Harvest a réagi lentement à la divulgation de la vulnérabilité, et il a fallu 3 ans pour corriger le problème.
  • L’entreprise a reconnu la vulnérabilité, mais n’a pas informé l’auteur du signalement une fois le correctif déployé.
  • Ce rapport a été rendu public le 21 octobre 2023.

À lire aussi

1 commentaires

 
GN⁺ 2023-10-23
Avis Hacker News
  • Le responsable du programme de bug bounty explique qu’il n’a pas pu reproduire complètement le problème et qu’en raison d’une confusion interne, il pensait que le problème avait été résolu.
  • Des utilisateurs de l’application Harvest expriment des inquiétudes quant aux capacités d’ingénierie de l’entreprise, citant le manque de nouvelles fonctionnalités et une vulnérabilité permettant de déduire les clients actifs.
  • Un commentateur souligne que la RFC 6749 détaille comment empêcher ce type d’attaque et se demande pourquoi l’application Harvest n’a pas empêché l’enregistrement d’un redirect_uri malveillant.
  • Un autre commentateur critique le titre, qu’il juge injuste envers Microsoft, en affirmant que les jetons appartenaient à Harvest et que l’exposition provenait d’une vulnérabilité dans le code de Harvest.
  • L’octroi implicite est critiqué pour les raisons montrées dans le billet, avec la remarque qu’il sera supprimé de la future spécification OAuth 2.1.
  • Un commentateur se dit choqué par le fait qu’il ait fallu trois ans (août 2020 - août 2023) pour corriger la vulnérabilité.
  • Un commentateur demande à un expert OAuth d’expliquer ce problème plus en détail, car il a du mal à comprendre la vulnérabilité.
  • Un commentateur se demande pourquoi ce problème n’a pas été signalé à Microsoft, suggérant qu’il aurait été possible de révoquer l’accès à l’application OAuth jusqu’à sa résolution.
  • Un commentateur se demande pourquoi l’entreprise a attendu trois ans pour corriger ce problème, affirmant que 90 jours auraient suffi avant de le rendre public.
  • Un commentateur critique HackerOne pour permettre à une entreprise d’ignorer ce type de problème pendant trois ans.