Microsoft schließt Cross-Site-Scripting-Lücke in Office 365

Microsoft hat ein Sicherheitsleck in Office 365 gestopft, das es Angreifern erlaubte, per Cross-Site-Scripting Benutzerkonten zu manipulieren. Der Entdecker der Lücke, der Cogmotive-Gründer Alan Byrne, hat nun in seinem Blog und in einem Youtube-Video Details zu der Schwachstelle veröffentlicht.

„Das ist das perfekte Beispiel für einen einfachen Exploit, der einen Schaden von mehreren Milliarden Dollar verursachen kann“, schreibt Byrne. „Während wir uns immer weiter in die Cloud hinein bewegen, müssen wir uns der möglichen Sicherheitsrisiken bewusst sein.“

Die Anfälligkeit beruht ihm zufolge auf einen Fehler bei der Prüfung von Eingabefeldern. In der Vorsteinstellung von Office 365 seien Nutzer in der Lage, ihre Namen zu ändern. Der Inhalt dieser Felder sei nicht kontrolliert worden, weswegen es auch möglich gewesen sei, HTML-Code einzugeben.

In seinem Beispiel zeigt Byrne, wie JavaScript-Code eingeschleust werden kann, der immer ausgeführt wird, wenn der Name eines bestimmten Nutzers angezeigt werden soll. Der Code nutze zwei iFrames, um einen neuen Nutzer mit Administratorrechten anzulegen, der dann den Namen des zuvor manipulierten Nutzers wieder zurücksetze.

Beim Hinzufügen des neuen Administrators schickt Office 365 ihm ein vorläufiges Passwort, mit dem er sich einloggen und dann die vollständige Kontrolle über die Office-365-Implementierung eines Unternehmens übernehmen kann. Byrne zufolge kann ein Angreifer auf diese Art sogar den ursprünglichen Administrator aussperren.

Den Fehler meldete Byrne nach eigenen Angaben am 16. Oktober vergangenen Jahres an Microsoft. Der Softwarekonzern habe ihn am 19. Dezember korrigiert.

Eine Belohnung für das Aufdecken der Schwachstelle hat Byrne jedoch nicht erhalten, da Office 365 nicht unter Microsofts Prämienprogramm fällt. Er wird lediglich als Entdecker der Anfälligkeit erwähnt. Trotzdem lobt Byrne Microsoft für den Umgang mit seinem Fehlerbericht.

„Microsoft hat mit dem schnellen Schließen der Lücke einen wirklich guten Job gemacht und mich während des gesamten Verfahrens auf dem Laufenden gehalten. Ich habe viele Horrorgeschichten von anderen Leuten gehört, die Fehler an andere Firmen gemeldet haben und keine Reaktion erhielten, weswegen sie keine andere Wahl hatten, als das Problem öffentlich zu machen, bevor ein Fix erhältlich war.“

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de