Microsoft hat ein Sicherheitsleck in Office 365 gestopft, das es Angreifern erlaubte, per Cross-Site-Scripting Benutzerkonten zu manipulieren. Der Entdecker der Lücke, der Cogmotive-Gründer Alan Byrne, hat nun in seinem Blog und in einem Youtube-Video Details zu der Schwachstelle veröffentlicht.
„Das ist das perfekte Beispiel für einen einfachen Exploit, der einen Schaden von mehreren Milliarden Dollar verursachen kann“, schreibt Byrne. „Während wir uns immer weiter in die Cloud hinein bewegen, müssen wir uns der möglichen Sicherheitsrisiken bewusst sein.“
Die Anfälligkeit beruht ihm zufolge auf einen Fehler bei der Prüfung von Eingabefeldern. In der Vorsteinstellung von Office 365 seien Nutzer in der Lage, ihre Namen zu ändern. Der Inhalt dieser Felder sei nicht kontrolliert worden, weswegen es auch möglich gewesen sei, HTML-Code einzugeben.
In seinem Beispiel zeigt Byrne, wie JavaScript-Code eingeschleust werden kann, der immer ausgeführt wird, wenn der Name eines bestimmten Nutzers angezeigt werden soll. Der Code nutze zwei iFrames, um einen neuen Nutzer mit Administratorrechten anzulegen, der dann den Namen des zuvor manipulierten Nutzers wieder zurücksetze.
Beim Hinzufügen des neuen Administrators schickt Office 365 ihm ein vorläufiges Passwort, mit dem er sich einloggen und dann die vollständige Kontrolle über die Office-365-Implementierung eines Unternehmens übernehmen kann. Byrne zufolge kann ein Angreifer auf diese Art sogar den ursprünglichen Administrator aussperren.
Den Fehler meldete Byrne nach eigenen Angaben am 16. Oktober vergangenen Jahres an Microsoft. Der Softwarekonzern habe ihn am 19. Dezember korrigiert.
Eine Belohnung für das Aufdecken der Schwachstelle hat Byrne jedoch nicht erhalten, da Office 365 nicht unter Microsofts Prämienprogramm fällt. Er wird lediglich als Entdecker der Anfälligkeit erwähnt. Trotzdem lobt Byrne Microsoft für den Umgang mit seinem Fehlerbericht.
„Microsoft hat mit dem schnellen Schließen der Lücke einen wirklich guten Job gemacht und mich während des gesamten Verfahrens auf dem Laufenden gehalten. Ich habe viele Horrorgeschichten von anderen Leuten gehört, die Fehler an andere Firmen gemeldet haben und keine Reaktion erhielten, weswegen sie keine andere Wahl hatten, als das Problem öffentlich zu machen, bevor ein Fix erhältlich war.“
[mit Material von Michael Lee, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…
In einigen Unternehmensbereichen sind angeblich bis zu 30 Prozent der Beschäftigten betroffen. Samsung spricht in…
Sie erlauben eine Remotecodeausführung. Betroffen sind alle unterstützten Versionen von Adobe Reader und Acrobat für…
