Microsoft hat eine kritische Sicherheitslücke geschlossen, die es erlaubte, Login-Tokens zu stehlen und wiederzuverwenden, um sich auch ohne Anmeldedaten Zugang zu Microsoft-Konten zu verschaffen. Entdeckt wurde die Schwachstelle vom britischen Sicherheitsforscher Jack Whitton. Ihm zufolge hat Microsoft den Fehler innerhalb von 48 Stunden behoben.
Diese Tokens ließen sich jedoch über Phishing-Websites ausspähen, um „vollständigen Zugriff auf das Konto eines Nutzers zu erhalten“, schreibt Whitton. Bei der Anmeldung für einen Microsoft-Dienst werde über den Wert „reply“ eine POST-Anfrage an die jeweilige Domain des Diensts geschickt, zusammen mit dem Login-Token für den jeweiligen Nutzer. Der Token werde dann vom Anmeldeprozess verarbeitet. Cookies kämen nicht zum Einsatz, da Microsoft seine Services auf unterschiedlichen Domains hoste. Ein Angreifer benötige zwar für jede Domain einen eigenen Token, mithilfe mehrerer versteckter iFrames sei es aber wahrscheinlich möglich, Tokens für verschiedene Dienste abzufangen.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Der Fehler selbst bestand Whitton zufolge darin, dass es möglich war, eine beliebige URL für die Authentifizierung anzugeben, was auch als Cross-Site-Request-Forgery (CSRF) bezeichnet wird. „Obwohl CSRF-Bugs nicht denselben Ruf haben wie andere Fehler, können ihre Auswirkungen auf Authentifizierungssysteme erheblich sein“, so Whitton weiter.
Der Forscher informierte Microsoft über seine Entdeckung am 24. Januar. Das Unternehmen bestätigte den Fehler noch am selben Tag. Obwohl ein Patch schon am darauffolgenden Dienstag zur Verfügung stand, wandte sich Whitton erst jetzt in einem Blogeintrag an die Öffentlichkeit.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
