Categories: SicherheitSoftware

Bug in Office 365 ermöglicht Diebstahl von Authentifizierungstoken

Das Öffnen einer Office-Datei auf einer bösartigen Website genügt, um an das Zugangstoken des jeweiligen Nutzers zu kommen. Ein erfolgreicher Angreifer kann sich aufgrund dieser Sicherheitslücke bei einem Sharepoint- oder einem anderen Microsoft-Office-Server als dieser Anwender ausgeben und alle ihm zugänglichen Dokumente entwenden.

Einen Hinweis auf diesen Bug fand die Sicherheitsfirma Adallom durch eine verdächtige HTTP-Anfrage bei einem Kunden. Sie ging von einer Word-Datei aus, die bei einem versteckten Dienst im Anonymisierungsnetzwerk TOR gehostet wurde, und wurde von einer Heuristik-Engine als hochriskant eingestuft. Die auf die Sicherheit von Software as a Service (SaaS) spezialisierte Firma meldete das Ergebnis ihrer Nachforschungen dazu am 29. Mai 2013 an das Microsoft Security Response Center (MSRC).

Einen Bugfix stellte Microsoft in diesem Monat am Dezember-Patchday bereit. In einem Blogeintrag führt Adalloms Chief Software Architect Noam Liran jetzt aus, wie er die Schwachstelle entdeckte und wie Angriffe darüber möglich sind. Demnach genügt es, einen Nutzer dazu zu bringen, auf den Link in einer E-Mail zu klicken, um seine Identität übernehmen zu können. Der Fehler betrifft eigentlich Office 365, aber durch ihre Integration mit dem Webdienst sind auch die Desktop-Versionen von Office 2013 betroffen. Neben Word sind PowerPoint, Excel, OneNote sowie SkyDrive Pro gefährdet.

Office 365 erfordert das Log-in des Nutzers in sein Konto. Beim Download eines Dokuments von einem Sharepoint-Server verifiziert es die Anmeldedaten des gegenwärtig angemeldeten Nutzers, indem es ein Authentifizierungstoken sendet. Das Token sollte eigentlich nur übertragen werden, wenn sich der Server auf der Domain Sharepoint.com befindet. Liran fand jedoch heraus, dass er über einen eigenen Server Antworten zurückgeben konnte, wie sie von einem legitimen Sharepoint-Server erwartet wurden – und der Computer des Anwenders übersandte daraufhin ohne Weiteres das Authentifizierungstoken.

„Jetzt kann mein bösartiger Webserver, der im Besitz des Authentifizierungstokens für Office 365 ist, einfach zur Sharepoint-Online-Site Ihrer Organisation gehen, alles herunterladen oder tun, was immer er will – und Sie werden nie davon erfahren“, schreibt der Sicherheitsexperte. „Sie werden tatsächlich nicht einmal mitbekommen, dass Sie angegriffen wurden! Es ist das perfekte Verbrechen.“

Mit einem Video illustriert Adallom den Ablauf eines solchen Angriffs. Microsoft beschreibt die als „wichtig“ eingestufte Schwachstelle CVE-2013-5054 in seinem Sicherheitsbulletin MS13-104 und nennt auch Noam Liran namentlich als ihren Entdecker.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago