Cross-Site-Scripting-Lücke in Office 365 behoben

Eine Schwachstelle in Office 365 hat Angreifern ermöglicht, Benutzerkonten per Cross-Site-Scripting zu manipulieren. Microsoft hat diese mit einem Patch behoben. Details zu der Sicherheitslücke hat der Entdecker des Bugs, der Cogmotive Gründer Alan Byrne, in seinem Blog und einem YouTube-Video veröffentlicht.

“Das ist das perfekte Beispiel für einen einfachen Exploit, der einen Schaden von mehreren Milliarden Dollar verursachen kann”, schreibt Byrne. “Während wir uns immer weiter in die Cloud hinein bewegen, müssen wir uns der möglichen Sicherheitsrisiken bewusst sein.”

Ein Fehler bei der Prüfung von Eingabefeldern war die Grundlage der Schwachstelle. Nutzer können in der Voreinstellung von Office 365 ihre Namen ändern. Dabei sei der Inhalt dieser Felder jedoch nicht überprüft worden, deshalb hab man auch HTML-Code eingeben können.

Byrne legt in seinem Blog dar, wie er JavaScript-Code einschleusen konnte, der immer ausgeführt wird, wenn von einem bestimmten Nutzer der Name angezeigt werden soll. Zwei iFrames verwendet der Code, um einen neuen Nutzer mit Administratorrechten anzulegen, der dann den Namen des zuvor manipulierten Nutzers wieder zurücksetze.

Ein Angreifer erhält von Office 365 ein vorläufiges Passwort, wenn er den neuen Administrator hinzufügt. Wenn er sich mit diesem einloggt, kann er die vollständige Kontrolle über die Office-365-Implementierung eines Unternehmens erlangen. Den ursprünglichen Administrator kann der Angreifer laut Byrne sogar aussperren.

Nach eigenen Angaben machte Byrne am 16.Oktober vergangenen Jahres Microsoft auf die Schwachstelle aufmerksam. Am 19. Dezember habe der Softwarekonzern den Fehler behoben.

Byrne hat allerdings keine Belohnung für die Entdeckung der Sicherheitslücke erhalten, da Microsofts Prämienprogramm Office 365 nicht umfasst. Er wird lediglich als Entdecker der Anfälligkeit erwähnt. Für den Umgang mit seinem Fehlerbericht lobt Byrne Microsoft dennoch.

“Microsoft hat mit dem schnellen Schließen der Lücke einen wirklich guten Job gemacht und mich während des gesamten Verfahrens auf dem Laufenden gehalten. Ich habe viele Horrorgeschichten von anderen Leuten gehört, die Fehler an andere Firmen gemeldet haben und keine Reaktion erhielten, weswegen sie keine andere Wahl hatten, als das Problem öffentlich zu machen, bevor ein Fix erhältlich war.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

20 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago