Diebstahl von OAuth-Tokens für Microsoft-Konten über einen Open Redirect in der Harvest-App

 (eval.blog)
1 Punkte von GN⁺ 2023-10-23 | 1 Kommentare | Auf WhatsApp teilen
  • Dieser Artikel behandelt eine Schwachstelle in Harvest, einer Zeiterfassungssoftware, mit der Nutzer ihren Outlook-Kalender per OAuth verbinden können.
  • Die Schwachstelle ermöglichte es, über einen Open Redirect in Harvest OAuth-Tokens verbundener Microsoft-Konten zu stehlen.
  • Nachdem die Autorisierung erfolgreich abgeschlossen wurde, werden Nutzer auf eine URL weitergeleitet, die den Nutzer zusätzlich zu der in state angegebenen URL umleitet. Dadurch entsteht ein Open Redirect.
  • Ein Open Redirect kann genutzt werden, um über die implizite Genehmigung Access Tokens zu stehlen.
  • Die Schwachstelle wurde entdeckt, nachdem mithilfe einer OAuth-Anwendung erfolgreich eine Verbindung zum Outlook-Kalender hergestellt worden war.
  • Die Kombination aus Open Redirect und dem impliziten Genehmigungsfluss führt dazu, dass Access Tokens an die weitergeleitete URL abfließen.
  • Das Harvest-Team reagierte nur langsam auf die Offenlegung der Schwachstelle, und es dauerte drei Jahre, das Problem zu beheben.
  • Das Unternehmen erkannte die Schwachstelle an, informierte den Melder jedoch nicht, als sie behoben wurde.
  • Dieser Bericht wurde am 21. Oktober 2023 öffentlich veröffentlicht.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-10-23
Hacker-News-Kommentare
  • Der Manager des Bug-Bounty-Programms erklärt, dass das Problem nicht vollständig reproduziert werden konnte und man aufgrund interner Verwirrung davon ausging, dass es behoben worden sei.
  • Nutzer der Harvest-App äußern Bedenken hinsichtlich der technischen Kompetenz des Unternehmens und verweisen auf das Fehlen neuer Funktionen sowie auf eine Schwachstelle, die Rückschlüsse auf aktive Kunden zulässt.
  • Ein Kommentator weist darauf hin, dass RFC 6749 detailliert beschreibt, wie sich diese Art von Angriff verhindern lässt, und fragt sich, warum die Harvest-App keine bösartige redirect_uri registriert hat.
  • Ein anderer Kommentator kritisiert, dass der Titel Microsoft gegenüber unfair sei, und argumentiert, dass das Token Harvest gehörte und die Offenlegung auf eine Schwachstelle im Harvest-Code zurückzuführen war.
  • In dem Beitrag wird der implizite Grant aus den dort gezeigten Gründen kritisiert, verbunden mit dem Hinweis, dass er in der kommenden OAuth-2.1-Spezifikation weggelassen wird.
  • Ein Kommentator zeigt sich schockiert darüber, dass die Behebung der Schwachstelle drei Jahre dauerte (August 2020 – August 2023).
  • Ein Kommentator bittet einen OAuth-Experten, das Problem genauer zu erklären, da es ihm schwerfällt, die Schwachstelle zu verstehen.
  • Ein Kommentator fragt sich, warum dieses Problem nicht an Microsoft gemeldet wurde, und schlägt vor, dass man den Zugriff für OAuth-Anwendungen hätte widerrufen können, bis das Problem behoben ist.
  • Ein Kommentator fragt sich, warum das Unternehmen drei Jahre gewartet hat, um das Problem zu beheben, und argumentiert, dass 90 Tage vor einer Offenlegung ausreichend seien.
  • Ein Kommentator kritisiert, dass HackerOne Unternehmen erlaubt, solche Probleme drei Jahre lang zu ignorieren.