Eine kritische Sicherheitslücke, die es erlaubte, Log-in-Tokens zu stehlen und wiederzuverwenden, um sich auch ohne Anmeldedaten Zugang zu Microsoft-Konten zu verschaffen, hat Microsoft jetzt geschlossen. Der britischen Sicherheitsforscher Jack Whitton hatte sie entdeckt. Ihm zufolge hat Microsoft den Fehler innerhalb von 48 Stunden behoben.
In einem Blogeintrag beschreibt Whitton seinen Angriff. Demnach erfolgt die Anmeldung für einen Microsoft-Dienst wie beispielsweise Outlook.com über einen Login-Token, wenn der Nutzer schon bei einem anderen Dienst wie beispielsweise OneDrive.com angemeldet ist. Diese Tokens ließen sich jedoch über Phishing-Websites ausspähen, um “vollständigen Zugriff auf das Konto eines Nutzers zu erhalten”, schreibt Whitton.
Bei der Anmeldung für einen Microsoft-Dienst werde über den Wert “reply” eine POST-Anfrage an die jeweilige Domain des Diensts geschickt, zusammen mit dem Login-Token für den jeweiligen Nutzer. Der Token werde dann vom Anmeldeprozess verarbeitet. Cookies kämen nicht zum Einsatz, da Microsoft seine Services auf unterschiedlichen Domains hoste. Ein Angreifer benötige zwar für jede Domain einen eigenen Token, mithilfe mehrerer versteckter iFrames sei es aber wahrscheinlich möglich, Tokens für verschiedene Dienste abzufangen.
Whitton zufolge besteht der Fehler selbst darin, dass es möglich war, eine beliebige URL für die Authentifizierung anzugeben, was auch als Cross-Site-Request-Forgery (CSRF) bezeichnet wird. “Obwohl CSRF-Bugs nicht denselben Ruf haben wie andere Fehler, können ihre Auswirkungen auf Authentifizierungssysteme erheblich sein”, so Whitton weiter.
Der Forscher informierte Microsoft über seine Entdeckung am 24. Januar. Das Unternehmen bestätigte den Fehler noch am selben Tag. Obwohl ein Patch schon am darauffolgenden Dienstag zur Verfügung stand, wandte sich Whitton erst jetzt in einem Blogeintrag an die Öffentlichkeit.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…