Microsoft musste schwere Lücke im Authentifizierungs-System beheben

Kriminalität, Diebstahl, Einbruch, Dieb Bildquelle: Public Domain
Microsofts Authentifizierungs-System OAuth barg für einige Zeit eine Schwachstelle, über die Angreifer heimlich verschiedene Accounts von Nutzern übernehmen konnten. Erst nach Hinweisen externer Sicherheitsforscher konnte das Problem behoben werden. Nach Angaben des Security-Unternehmens CyberArk wurden in den Einstellungen des Dienstes vermeintlich vertrauenswürdige Domains gefunden, die nicht unter der Kontrolle Microsofts standen. Teils war es hier möglich, Subdomains zu registrieren. Und über diese ließen sich dann Security-Tokens entführen, ohne dass der Nutzer selbst zu einer Interaktion gebracht werden musste.

OAuth sorgt dafür, dass Anwender nicht bei jedem Besuch eines Dienstes oder beim Starten von Apps das Passwort zu ihrem Microsoft-Konto neu eingeben müssen. Dafür erstellt der Service ein Access-Token, das auch über mehrere Anwendungen hinweg Gültigkeit hat, wenn diese von Microsoft als vertrauenswürdig vermerkt sind. Dadurch reicht es beispielsweise, dass ein User an seinem PC angemeldet ist, um auch auf verschiedene Dienste zuzugreifen, die eigentlich auch ein Login für das gewünschte Microsoft-Konto erfordern würden.

Besonders für Firmen riskant

Den Leuten von CyberArk war es möglich, selbst einige Domains zu registrieren, die das Vertrauen von OAuth genossen. Das wäre entsprechend auch einem Angreifer möglich gewesen. Und dieser hätte hier beispielsweise manipulierte Dienste hinterlegen können, auf die man anschließend User lockt, denen dann der Token gestohlen wird. Auf diese Weise wäre das jeweilige Konto komplett übernommen worden.

Besonders riskant war dies, weil OAuth auch von vielen Unternehmen eingesetzt wird. Hier bestand im Grunde die Gefahr, dass sehr sensible Informationen in die Hände unbefugter gelangen - beispielsweise in Form von Datenbanken mit Geschäfts-Interna, die auf einer Azure-Instanz vorgehalten werden. Hinweise auf einen realen Missbrauch gibt es bisher allerdings wohl nicht. Microsoft hat die Schwachstelle inzwischen auch behoben.

Siehe auch: Microsoft: Windows ist mit den Jahren wirklich viel sicherer geworden Kriminalität, Diebstahl, Einbruch, Dieb Kriminalität, Diebstahl, Einbruch, Dieb Public Domain
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 23:59 Uhr JamsDonkey USB C Hub, 4 in 1 Aluminium Typ C Adapter mit 4K/60Hz HDMI, USB C PD Aufladung, USB 2.0 und 3,5mm Audioausgang für iPad Pro 2018 MacBook Pro Microsoft SurfaceJamsDonkey USB C Hub, 4 in 1 Aluminium Typ C Adapter mit 4K/60Hz HDMI, USB C PD Aufladung, USB 2.0 und 3,5mm Audioausgang für iPad Pro 2018 MacBook Pro Microsoft Surface
Original Amazon-Preis
49,99
Im Preisvergleich ab
?
Blitzangebot-Preis
39,99
Ersparnis zu Amazon 20% oder 10

Video-Empfehlungen

Tipp einsenden