Plusieurs vulnérabilités et faiblesses de sécurité ont été découvertes sur des espaces en-ligne de Microsoft, par des collaborateurs SYNETIS.
Microsoft dispose d’un programme de Bug Bounty depuis de nombreuses années. Offrant des récompenses aux chercheurs décelant des faiblesses de sécurité dans les services et produits proposés, Microsoft est depuis longtemps éprouvé continuellement en termes de sécurité par des experts en sécurité de part le monde.
C’est dans ce contexte que deux collaborateurs de SYNETIS ont pu découvrir plusieurs faiblesses de sécurité dans des services en-ligne de Microsoft.
Ces espaces web disposaient de plusieurs faiblesses de type Cross-Site Scripting (XSS) réfléchies, stockées, Open-Redirect et de multiples CSRF (Cross-Site Request Forgery).
- Cross-Site scripting (XSS) : permettait d’injecter du code JavaScript arbitraire, défini par les attaquant, dans le contexte de navigation des victimes, offrant en conséquence la main sur l’intégrité du rendu des pages web et des traitements associés.
- Open-Redirect : force la redirection vers une URL arbitraire, définie par l’attaquant, dans le contexte de la victime.
- Cross-Site Request Forgery : permet la soumission de formulaire et la validation de traitement dans un contexte de victime authentifiée, à l’insue de la victime elle-même.
En chaînant ces diverses vulnérabilités unitaires, les collaborateurs de SYNETIS ont pu illustrer des scénarios d’attaques crédibles et relativement critiques, pouvant mener à la suppression de n’importe quel compte utilisateur des plateformes Microsoft impactées via la simple consultation d’une URL pointant vers une page malicieuse d’un domaine *.microsoft.com.
Deux collaborateurs de SYNETIS ont donc contribué à améliorer la sécurité de ces espaces en-ligne de *.Microsoft.com, notamment au travers de leur programme de responsible disclosure / Bug Bounty.
Une faille corrigée
Après quelques jours et plusieurs échanges, les équipes de Microsoft ont corrigé et mitigé ces faiblesses de sécurité.
Le Hall of Fame de Microsoft (août 2018) comportent à présent les noms des collaborateurs SYNETIS ayant réalisé cette contribution.
Nous saluons les équipes de Microsoft pour les divers échanges, leur amabilité et leur efficacité dans la résolution des problèmes relatifs à la sécurité de leurs services.
Sources & ressources :
