Microsoft beloont onderzoeker met 13.000 dollar voor ernstig authenticatielek

Beveiligingsonderzoeker Jack Whitton ontdekte een lek in de authenticatie van Outlook, Azure en Office, waardoor een aanvaller op gebruikersaccounts kon inloggen. Microsoft patchte het lek binnen twee dagen en beloonde Whitton met 13.000 dollar, omgerekend 11.430 euro.

In een blogpost beschrijft Whitton dat Microsoft voor de authenticatie van Outlook, Azure en Office verschillende domeinen gebruikt, zoals login.live.com en login.windows.net. Als een gebruiker bijvoorbeeld wil inloggen bij Outlook, wordt hij naar een van die domeinen doorgestuurd. Omdat het om meerdere domeinen gaat, kan er echter geen gebruik worden gemaakt van cookies. Daarom zet Microsoft een token in om de gebruiker te authenticeren.

Bij het inloggen wordt een parameter aan de url toegevoegd, waaruit blijkt vanaf welke site de login plaatsvond. Aan de hand daarvan stuurt deze server het token terug naar die originele locatie, nadat de gebruiker is geverifieerd. Door middel van een cross-site request forgery-kwetsbaarheid kon Whitton de url aanpassen, waar het token naartoe werd gestuurd. Dit was mogelijk doordat de server de input op een verkeerde manier filterde.

Op die manier had Whitton toegang tot de dienst die correspondeerde met het onderschepte token, doordat hij zich kon voordoen als een geverifieerde gebruiker. De enige beperking was dat een Outlook-token bijvoorbeeld niet voor Azure gebruikt kon worden.

IT-banen

Reacties (59)

Stroopwafels 4 april 2016 14:45

Dan vind ik 13.000 dollar nog erg weinig voor zo'n enorm kritische lek.
Wel mooi dat het gemeld is in plaats van dat er misbruik is van gemaakt.

Firefly III @Stroopwafels • 4 april 2016 14:56

Dat is nog maar de vraag bij dit soort lekken. Daarom is het zo belangrijk dat onderzoekers en overheden dit soort dingen melden en (laten) repareren. Jack Whitton heeft een lek ontdekt dat hoe lang bestond? Maanden? Jaren? Geen idee. Was hij wel de eerste die het lek heeft gevonden? Ook geen idee.

De overheid bijvoorbeeld is een schoolvoorbeeld van een partij die hier gebruik van zou kunnen maken in het kader van de bestrijding van de Four Horsemen of the Infocalypse. Maar de overheid is ook een schoolvoorbeeld van een partij waarbij het regelmatig ernstig fout gaat met staatskritieke gegevens. Er hoeft maar eentje bij Outlook te zitten. Hoe lang heeft zijn e-mail dan open gestaan? We zullen het nooit weten. Daarom, meteen melden. Heeft iedereen baat bij. Niet melden, daar heeft iedereen last van, ook de partij die er van denkt te kunnen profiteren.

Of de beloning hoog genoeg is, is een moeilijkere vraag. Ik verdien geen 11K met een paar avonden werk, dus voor mij zou het bijzonder welkom zijn. Maar in het criminele circuit kan je toch altijd meer verdienen.

[Reactie gewijzigd door Firefly III op 23 juli 2024 16:32]

Keypunchie @Firefly III • 4 april 2016 16:56

Of de beloning hoog genoeg is, is een moeilijkere vraag. Ik verdien geen 11K met een paar avonden werk, dus voor mij zou het bijzonder welkom zijn. Maar in het criminele circuit kan je toch altijd meer verdienen.

En je hoeft geen inkomstenbelasting af te dragen. Nou ja, ook over illegale inkomsten moet dat, maar wie doet het...

Het nadeel van het criminele circuit is
A) je hebt te maken met criminelen. Zullen die je bedriegen? Verraden als het hun uitkomt? Of misschien nemen ze maatregelen tegen jou als ze denken dat jij hun gaat verraden.
B ) er bestaat de kans op rechtsvervolging. Heb je een strafblad en mogelijk moet je de gevangenis in. In ieder geval zullen ze Plukze-wetgeving op je toepassen.

Geloof je niet dat overheden keihard tegen hackers zijn? Vraag dan maar aan Kevin Mitnick hoe ze soms ook kruimelmisdaad disproportioneel aanpakken. Of vraag aan Kim Dotcom hoe zelfs internationaal de Amerikaanse overheid achter jou en je bezittingen aan kan zitten.

Kortom. Criminele circuit heeft zeer, zeer zware nadelen. Met groter risico komt een grotere beloning. Doe mij de white hat-beloning maar.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 16:32]

lololig @Keypunchie • 4 april 2016 18:58

Het hangt er natuurlijk ook vanaf hoe lang je er mee bezig bent geweest, als je er een paar uurtjes in hebt gestoken is 13000 wel een erg leuk bedrag, als je er maanden full time mee bezig zou zijn geweest is het het natuurlijk een lachertje.

Douweegbertje @Firefly III • 4 april 2016 21:19

Het punt hier is dat een XSS niet veel geld oplevert als crimineel zijnde. Hoewel de ernst van de exploit enorm hoog is, zijn er enorm veel nadelen:

- Het is niet specifiek toepasbaar. Je kan niet specifiek iemand targetten als je bijvoorbeeld een e-mailadres (om mee in te loggen) weet.
- Het is ook niet breed toepasbaar. Je hebt immers een soort 'seeder' nodig om de tokens te bemachtigen. Vervolgens krijg je random allerlei mailboxen.
- Je zou iemand specifiek kunnen targetten, maar dit vereist al zekere kennis van je doelwit en dan ook nog een vorm van medewerking van je doelwit.
- Bij grote schaal exploiten van deze bug, is het ook zeker binnen 1 maand al weer gepatched.

Dus iemand zou het kunnen gebruiken om echt bepaalde doelwitten te kunnen pakken maar dan zijn er betere opties. Echte 0-day's met remote code execution en/of admin rechten.

Als je een exploit als dit wilt verkopen vang je er misschien een paar duizend voor. Als je er nog een programma voor gaat maken en deze los verkoopt dan is je opbrengst meer, maar zorg je ervoor dat het binnen no-time gepatched is, en heb je zure klanten. In dit geval is het het zeker niet waard om dit op de blackmarket te verkopen.

Het enige wat echt boeit qua prijzen zijn de 0-days met LPE (local privillege escalation) of RCE (remote code execution) of MTB (mitigation bypasses). Het punt is dat menig fatsoenlijk bedrijf hier vervolgens ook letterlijk tonnen aan rewards voor terug geeft. Mits het natuurlijk ook een high inpact bedrijf/software betreft. Denk hierbij aan de diverse OS'en die er zijn (ook mobile) en veel gebruikte producten (browsers, helpers zoals flash, adobe reader).

Persoonlijk mogen de legitieme rewards hoger. Dit klinkt een beetje krom maar de grote tech-bedrijven hebben zat geld. Wees dan ook concurrerend. Als ik een dikke zak geld heb, zou ik er alles aan doen om meer geld te bieden dan een crimineel. Al is het maar voor de 'fuck you, I pay more'.
Uiteindelijk heb je het ook gewoon nodig van de "goede mensen", dat mogen een feit zijn.

Skoucail @Stroopwafels • 4 april 2016 14:48

Is al 13x meer dan dat Benjamin Kunz Mejri gekregen heeft voor een bug te vinden bij PayPal.
Bron: nieuws: Kwetsbaarheid maakte uitvoeren van code via PayPal-bevestigingsmails mogelijk

[Reactie gewijzigd door Skoucail op 23 juli 2024 16:32]

eM. @Skoucail • 4 april 2016 15:09

Dit lijkt me toch een stuk ernstiger. Als ik me niet vergis ging het bij de PayPal kwetsbaarheid om een stukje javascript en een iframe wat meegestuurd werd in de bevestigingsmail. Maar in de praktijk zal dit nooit uitgevoerd worden omdat mailprogramma's dit niet accepteren/uitvoeren. (en daarmee blijft het natuurlijk wel een risico)

[Reactie gewijzigd door eM. op 23 juli 2024 16:32]

Verwijderd @eM. • 4 april 2016 23:28

Wel als je dergelijke mail opent in een web cliënt.

eM. @Verwijderd • 5 april 2016 07:55

Je denkt toch niet dat hotmail, Gmail of Outlook JavaScript laten uitvoeren? Dat zal flink wat problemen opleveren.

Ja. Of je moet de originele bron opslaan als html. En dat openen in je browser. Maar dat lijkt me niet zo voor de hand liggend.

[Reactie gewijzigd door eM. op 23 juli 2024 16:32]

Exorcist @Stroopwafels • 4 april 2016 14:49

Je kunt ook niets krijgen (zie Valve). Vind het een passende beloning als blijk van waardering.

2Dutch @Exorcist • 4 april 2016 15:21

En de beste man komt positief in het nieuws, dat is ook wel wat waard. Handig bij eventuele jobhunts lijkt me

dehardstyler @2Dutch • 4 april 2016 15:29

Dit staat zeker mooi op je CV, al is het alleen maar voor de eerlijkheid.

Cave_Boy @Stroopwafels • 4 april 2016 14:49

Ja het is een groot lek maar ik vind dat er ook ergens een grens moet zijn.
Wat vind je persoonlijk dan netter 1,5 miljoen?

Martinspire

Microsoft

@Cave_Boy • 4 april 2016 15:51

Eens, ik denk dat het ook in verhouding tot het werk moet staan en de manier waarop je de bug meldt. Had ie middels afpersingen rijker kunnen worden? Mogelijk wel, maar het feit dat je überhaupt iets krijgt voor het melden is al winst (en levert je minder problemen op)

Cornholio @Stroopwafels • 4 april 2016 14:49

Tsjongejongejonge. Je kunt ook zeiken om het zeiken zeg.
13.000 dollar is toch leuk, een soort 13e maand namens Microsoft. Leuk toch, kun je mooi flesje wijn van opentrekken

Evianon @Cornholio • 4 april 2016 14:57

De beloning zou op zich wel in verhouding moeten staan tot de "waarde" van het lek. Iemand met minder goede intenties had dit lek voor miljoenen kunnen verkopen aan ontelbare partijen en inlichtingendiensten met minder goede bedoelingen.

De meesten zullen van goede huize komen, maar er zijn ongetwijfeld ook mensen die bij zulke relatief lage beloningen misschien wel in de verleiding komen om het voor een veel en veel hoger bedrag aan iemand anders te melden.

Verwijderd @Evianon • 4 april 2016 15:09

Precies ! Zo een lek heeft een 'zwartemarkt waarde' van vele duizenden euro's.

lololig @Verwijderd • 4 april 2016 19:00

Maar het is best een leuke beloning als je er niet veel tijd in hebt gestoken. Als je er veel tijd in hebt gestoken is het wel een beetje karig. En eerlijk duurt wel het langst.

Jeroen @Evianon • 4 april 2016 15:40

Tja, en als je 16 bent en een Audi wil rijden dan kun je ook pillen gaan verkopen.

supersnathan94 @Jeroen • 4 april 2016 18:39

Tegenwoordig is het lucratiever om een youtube kanaal te beginnen op je 16e. Dan heb je met een beetje mazzel zo een mooie lambo bij elkaar verdiend.

lololig @supersnathan94 • 4 april 2016 18:59

pillen dealen is vast een stuk eenvoudiger dan een goed yt kanaal opzetten

fantafriday @Evianon • 4 april 2016 15:38

Is toch al jaren bekend dat criminaliteit loont?

Verwijderd @Cornholio • 4 april 2016 14:52

Als je beroepsmatig bounty hunter bent dan is 13k$ in de VS niet zo veel nee...

Dunky555 @Verwijderd • 4 april 2016 15:32

Dat lijkt mij dus ook en wanneer deze info voor een ander (criminelen) veel meer waard is, dan is het lucratiever om het daar aan te verkopen. Of er zelf andere dingen mee te doen. Het is nou ook niet dat MS krap bij kas zit...

djpfaff @Dunky555 • 4 april 2016 15:39

Ik denk dat als het hem (John Whitton) om het grote geld had gegaan, dan had hij vast geen onderzoeker geworden

Iblies @Dunky555 • 4 april 2016 16:01

Potentieel meer waard.

Maar dan heb je ook gelijk de keerzijde van de medaille. Ipv een hack en je bezig met een misdrijf en daarbij horende straffen.

Vergis je niet dat er bij verschillende bedrijven mensen op de loonlijst hebben staan die niets meer of minder doen dan het ICT-netwerk onderzoeken en vreemde verbindingen nagaan en waar die eigenlijk naar zoeken.

13k Als extra inkomsten is dan echt niet slecht.

Dunky555 @Iblies • 4 april 2016 20:08

Dat klopt ook wel, maar ten eerste geloof ik niet dat op de dag van vandaag er nog zoveel mensen zijn met zo'n zuiver geweten dat die veel geld laten liggen om het juiste te doen. Het kan, maar die zijn dan al binnen denk ik.
Daarnaast was het idee om er zelf illegale dingen mee te doen de 2e keus. Wanneer je de info voor (veel) meer geld kunt verkopen aan de concurrentie of criminele hackers eventueel in het buitenland, dan lijkt mij de pakkans vrij klein als je het een beetje slim aanpakt.

Ik heb het dan trouwens ook meer over kritieke lekken in het algemeen. Als men met die info bedrijven schade aan kan richten door klanten geld en/of betalingsgegevens etc afhandig weten te maken en/of de boel voor een aantal dagen offline te laten zijn door een virus binnen te laten of voor spionage doeleinden of..... naja vul maar in. Dan vind ik 13k of zelfs het driedubbele vrij weinig. Als ik MS of wat voor groot bedrijf dan ook was zou ik makkelijk veel meer voor over hebben voor info over kritieke lekken die echt nare gevolgen kunnen hebben.

Begrijp me niet verkeerd ik vind 13k ook een leuk bedrag (verdien ook maar een gemiddeld salaris), maar in de wereld van de grote/grootste bedrijven is 13k natuurlijk niets. Ik denk dat vele mensen die een dergelijk volgend lek zullen vinden bij MS eerst ergens anders aankloppen. Althans, daar zou ik nu wel bang voor zijn als ik MS was.

Remenic @Cornholio • 4 april 2016 14:50

Soort 13e maand? Ik moet een andere baan zoeken

cappie @Cornholio • 4 april 2016 14:51

ik weet niet hoeveel jij verdient hoor.. maar dat is geen normale maand bij mij

Skoucail @Cornholio • 4 april 2016 14:51

*Off-topic*
Denk dat ik dringend ander werk moet vinden om een 13de maand van 11k+ te krijgen

Verwijderd @Cornholio • 4 april 2016 15:01

Heb niet eens een 13de maand

qbig1970 @Cornholio • 4 april 2016 15:29

Voor sommigen is het een halfjaar-salaris!!!!

JustMitchie @qbig1970 • 4 april 2016 22:31

Meer dan n jaarsalaris

Ryan1981 @Cornholio • 4 april 2016 16:16

Das wel een hele dikke 13e maand

Stroopwafels @Cornholio • 4 april 2016 14:59

Hij had waarschijnlijk veel meer kunnen verdienen als hij blackhat praktijken ermee ging doen.

Blokker_1999

Microsoft
Netwerk en systeembeheer
Security

@Stroopwafels • 4 april 2016 14:51

Voor dat bedrag moet ik een half jaar werken. Slecht is dat dus zeker niet.

Kenhas @Stroopwafels • 4 april 2016 16:07

Ik ben het ermee eens dat het een lek is maar "zo'n enorm kritisch lek" lijkt me toch overdreven.

Je moet per slot van rekening wel inloggen vooraleer de te onderscheppen token wordt verstuurd.
Na het inloggen kan je het gegenereerde token onderscheppen en daarmee kan je dan verifiëren bij de originele site.

disclaimer : ben helemaal geen kenner van dergelijke technieken maar zo lees ik het toch. Alles dus onder voorbehoud van gigantische blunders

matthewk 4 april 2016 15:04

Net bedrag. Vind persoonlijk dat er niet geklaagd mag worden hierover. In de VS is netto 13000 dollar ongeveer 5 maanden loon (met een redelijk goed loon, that is. Het is echt niet zo dat de gemiddelde ict'er gemiddeld het dubbele per maand verdient daaro. Een programmeur, de grootverdiener onder de ICT'ers zit daar gemiddeld op 4.2k en dat is met meer dan 5 jaar ervaring). Dat hij in londen woont en dus de leefkosten daar hoger zijn is zijn eigen keuze. Londen is denk ik een van de duurste steden ter wereld en ontzettend waardeloos om in te leven als je niet met twee grootverdieners bent.

Natuurlijk verdien je met blackhat meer. Met beleggen verdien je ook veel minder dan een bankoverval, maar ga je het daarom ook doen?

[Reactie gewijzigd door matthewk op 23 juli 2024 16:32]

maxtrash @matthewk • 4 april 2016 15:24

de gemiddelde Microsoft medewerker in Amerika verdient dat gewoon per maand hoor

GlowMouse @matthewk • 4 april 2016 15:25

In de VS is 3k/maand geen 'redelijk goed' loon. Met een mastergraad in de informatica zit je makkelijk op het dubbele, en afhankelijk van de regio ook wel op het driedubbele. Als starter dan. Daar komt bij dat je als zelfstandige zelf verantwoordelijk bent voor je ziektekostenverzekering en pensioenvoorziening. Nu woont deze man in Londen, waar de kosten van leven ook vrij hoog liggen, en ging het om 13k ipv 15k, maar feit blijft dat je van dat geld niet zo gek lang onderzoek kunt doen. Deze man heeft vaker bugs gevonden, dus het kan nog uit, maar het is geen gezonde situatie. Op termijn zijn het alleen criminelen en naties die het zich kunnen veroorloven zulk onderzoek te doen.

Bacchus @matthewk • 4 april 2016 16:33

Euh. Een IT-beveiligingsspecialist mag in de VS toch wel ongeveer het dubbele (tegen de $70k) vragen als instap-salaris hoor. En voor hogere beveiligings-functies loopt dat nog verder op.

matthewk @Bacchus • 4 april 2016 16:40

waar iets meer dan 4k van overblijft nadat je 25% hebt afgedragen

Jack Flushell

@matthewk • 4 april 2016 18:51

25% is dus echt peanuts, ZEKER in Nederland.

matthewk @Jack Flushell • 4 april 2016 20:32

Ja maar dan blijft mijn stelling toch kloppen

? Blijft overigens zeer veel. Maar goed das een andere discussie.

[Reactie gewijzigd door matthewk op 23 juli 2024 16:32]

Blokker_1999

Microsoft
Netwerk en systeembeheer
Security

4 april 2016 14:52

Eigenlijk nog snel opgelost van Microsoft. Op een zondag gemeld, diezelfde dag nog bevestigd door hen en 2 dagen later was de bug geplet. Zo zou het vaker moeten.

Rataplan_ @Blokker_1999 • 4 april 2016 15:36

Inderdaad. Leg maar eens een ticket in bij Pro of Premier support voor een bug in een product van ze waar je grif voor betaalt, bv Windows of Exchange. Een half jaar tot een jaar wachten op een hotfix is bij ons geen uitzondering. En ja iets met scope en risico analyses, maar dit nieuws geeft mij vooral de bijsmaak 'en wij maar wachten elke keer'.

Verder leuke gesture, voor MS is het niet eens wisselgeld en de melder zal er erg bilj mee zijn.

[Reactie gewijzigd door Rataplan_ op 23 juli 2024 16:32]

oezie 4 april 2016 15:15

Gelukkig plet Microsoft snel bugs in zijn online diensten. Had in februari ook een bug gemeld waarbij ik instaat was willekeurige facturen te downloaden van verschillende klanten via account.microsoft.com. Ook dit was binnen twee dagen opgelost.

williamvdh @oezie • 4 april 2016 15:20

De vraag is dan.. Wat kreeg jij hiervoor?

oezie @williamvdh • 4 april 2016 15:25

Helaas geen 13.000 dollar.

Slechts een eervolle vermelding op de "Security Researcher Acknowledgments for Microsoft Online Services" pagina

Goldwing1973 @oezie • 4 april 2016 15:45

Ach, jij kreeg nog een vermelding.
Ik heb een tijdje geleden een fout ontdekt in een verkoper van online eventtickets waardoor ik willekeurige entreebewijzen kon downloaden.
Na het melden hiervan met als bewijs 5 verschillende entreekaarten hebben ze snel het lek opgelost en alles ontkent.

oezie @Goldwing1973 • 4 april 2016 16:32

Dat is inderdaad wel een beetje sneu van dat bedrijf. Lijkt mij een vrij ernstig lek waar een vergoeding toch wel op zijn plaats is.

Voor het zelfde geld had je dit lek kunnen misbruiken of doorverkopen waardoor de schade niet te overzien valt...

Tweaker36 @Goldwing1973 • 4 april 2016 21:13

En wat hebben we geleerd? Volgende keer gewoon lekker zwijgen en tickets printen

Triest!

Goldwing1973 @Tweaker36 • 4 april 2016 22:03

Volgende keer zal ik het bij dit ticketbedrijf wel wat anders aanpakken.
Geen uitleg, gewoon een foto van een paar uitgeprinte tickets en vragen wat ze er voor over hebben EN ze aan de vorige keer herinneren, anders, zoek het maar uit.

DarkSim1986 4 april 2016 14:53

beter iets dan ...

laminaatplaat 4 april 2016 14:58

13k, nou volgende keer toch maar naar het zwarte circuit...

Tenminste zo moet dat voelen denk ik, maar uit o.a. morele overwegingen zal het vaak bij denken blijven waarschijnlijk.

[Reactie gewijzigd door laminaatplaat op 23 juli 2024 16:32]

Jack Flushell

4 april 2016 18:54

Ik vind het wel netjes dat ze überhaupt betalen en ik vind het bedrag niet echt kinderachtig (ook al is het een nano-scheet voor een bedrijf als MS). Ze ontkennen het in elk geval niet, dat had ook gekund en komt vaak genoeg voor (zie reactie Goldwing1973).

masterant 4 april 2016 19:16

Ik vind het netjes van Microsoft! Natuurlijk wel weer de reacties of het voldoende beloond is maar aan de andere kant, de beste man krijgt ook publiciteit wat ook zeker zal helpen in zijn carrière als je het mij vraagt. Iets over integriteit ofzo

JustMitchie 4 april 2016 22:39

Ik ben benieuwd op welke manier dit is gegaan. Als ik hier zo lees dat wanneer je eervol vermeld word bij het hebben van een niet gepatchte bug..... hoe komt hij dan aan die cash?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (59)

Sorteer op:

Weergave: