Microsoft schließt kritische Phishing-Lücke in seinen Online-Diensten

Microsoft hat eine kritische Sicherheitslücke geschlossen, die es erlaubte, Login-Tokens zu stehlen und wiederzuverwenden, um sich auch ohne Anmeldedaten Zugang zu Microsoft-Konten zu verschaffen. Entdeckt wurde die Schwachstelle vom britischen Sicherheitsforscher Jack Whitton. Ihm zufolge hat Microsoft den Fehler innerhalb von 48 Stunden behoben.

Seinen Angriff beschreibt Whitton in einem Blogeintrag. Demnach erfolgt die Anmeldung für einen Microsoft-Dienst wie beispielsweise Outlook.com über einen Login-Token, wenn der Nutzer schon bei einem anderen Dienst wie beispielsweise OneDrive.com angemeldet ist.

Diese Tokens ließen sich jedoch über Phishing-Websites ausspähen, um „vollständigen Zugriff auf das Konto eines Nutzers zu erhalten“, schreibt Whitton. Bei der Anmeldung für einen Microsoft-Dienst werde über den Wert „reply“ eine POST-Anfrage an die jeweilige Domain des Diensts geschickt, zusammen mit dem Login-Token für den jeweiligen Nutzer. Der Token werde dann vom Anmeldeprozess verarbeitet. Cookies kämen nicht zum Einsatz, da Microsoft seine Services auf unterschiedlichen Domains hoste. Ein Angreifer benötige zwar für jede Domain einen eigenen Token, mithilfe mehrerer versteckter iFrames sei es aber wahrscheinlich möglich, Tokens für verschiedene Dienste abzufangen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Der Fehler selbst bestand Whitton zufolge darin, dass es möglich war, eine beliebige URL für die Authentifizierung anzugeben, was auch als Cross-Site-Request-Forgery (CSRF) bezeichnet wird. „Obwohl CSRF-Bugs nicht denselben Ruf haben wie andere Fehler, können ihre Auswirkungen auf Authentifizierungssysteme erheblich sein“, so Whitton weiter.

Der Forscher informierte Microsoft über seine Entdeckung am 24. Januar. Das Unternehmen bestätigte den Fehler noch am selben Tag. Obwohl ein Patch schon am darauffolgenden Dienstag zur Verfügung stand, wandte sich Whitton erst jetzt in einem Blogeintrag an die Öffentlichkeit.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

3 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

6 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

7 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

7 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

7 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago