Office 365, Teams etc.: Microsoft hatte eine massive Sicherheitslücke
An Sicherheitslücken haben sich die meisten Computer-Nutzer zwar durchaus gewöhnt, die dazugehörigen Patches sind längst Alltag. Das ist auch nicht schlimm, wenn nichts passiert. Doch bei der Microsoft-Suchmaschine Bing gab es eine Lücke, die es mehr als in sich hatte.
Es gibt immer wieder Schwachstellen, die einem ein gutes Stück weit den Atem stocken lassen, und genau so eine konnten die Sicherheitsforscher von Wiz im Januar dieses Jahres aufspüren (via Wall Street Journal). Diese Lücke erlaubte es, Suchergebnisse so zu manipulieren, dass es möglich war, an private Informationen anderer Bing-Nutzer zu gelangen. Auf diese Weise war etwa der Zugriff auf Teams, Outlook und Office 365 möglich.
Laut Wiz fehlte rund 25 Prozent der mehrinstanzenfähigen Apps eine entsprechende Validierung, dazu zählte Bing Trivia. Die Sicherheitsforscher konnten sich dort mit ihren eigenen Konten einloggen und darüber sogar die Suchergebnisse von Bing manipulieren. Weitere Zugriffe waren bei Office 365, Outlook, Microsoft Teams, SharePoint und OneDrive möglich, also im Wesentlichen ein großer Teil des Microsoft-Produktangebots.
Laut Wiz hatten mehr als 1000 Apps eine solche Fehlkonfiguration. Diese wurde Ende Januar an Microsoft gemeldet, geschlossen wurde die Bing-Lücke am 2. Februar 2023. Weitere betroffene Apps folgten Ende Februar, die letzte wurde am 20. März gefixt. Der Redmonder Konzern teilte überdies mit, dass man zusätzliche Schritte unternommen hat, damit sich dieses Problem nicht wiederholen kann.
Siehe auch:
Fehlkonfigurationen in der Azure Active Directory
Verantwortlich dafür war laut Wiz Research Microsofts Cloud-Computing-Plattform Azure bzw. eine dortige Fehlkonfiguration. Konkret war es eine Schwachstelle im Identitäts- und Zugriffsverwaltungsdienst von Azure Active Directory (AAD). Dabei sind die Mehrinstanz-Berechtigungen der Plattform durch jeden Azure-Nutzer zugänglich, weshalb es erforderlich ist, dass eine Überprüfung stattfinden muss. Allerdings sind hier Fehlkonfigurationen alles andere als eine Seltenheit.Wiz Research zeigt, wie man die Bing-Lücke missbrauchen konnte
Laut Wiz fehlte rund 25 Prozent der mehrinstanzenfähigen Apps eine entsprechende Validierung, dazu zählte Bing Trivia. Die Sicherheitsforscher konnten sich dort mit ihren eigenen Konten einloggen und darüber sogar die Suchergebnisse von Bing manipulieren. Weitere Zugriffe waren bei Office 365, Outlook, Microsoft Teams, SharePoint und OneDrive möglich, also im Wesentlichen ein großer Teil des Microsoft-Produktangebots.
Laut Wiz hatten mehr als 1000 Apps eine solche Fehlkonfiguration. Diese wurde Ende Januar an Microsoft gemeldet, geschlossen wurde die Bing-Lücke am 2. Februar 2023. Weitere betroffene Apps folgten Ende Februar, die letzte wurde am 20. März gefixt. Der Redmonder Konzern teilte überdies mit, dass man zusätzliche Schritte unternommen hat, damit sich dieses Problem nicht wiederholen kann.
Zusammenfassung
- Microsofts Bing hatte Lücke für Zugriff auf private Informationen.
- Fehlkonfiguration in Azure Active Directory.
- Mehr als 1000 Apps betroffen.
- Zugriff auf Office 365 etc. möglich.
- Lücke geschlossen, Schritte unternommen.
Siehe auch:
- Pwn2Own-Wettbewerb deckt mehrere Windows 11 Zero-Day-Lücken auf
- Pixel: Lücke erlaubt Wiederherstellung zugeschnittener Screenshots
- BitLocker: Microsoft schließt Sicherheitslücke mit PowerShell-Skript
- Galaxy & Pixel-Phones betroffen: Chip von Samsung voller 0-Day-Lücken
- Microsoft entschärft aktiv ausgenutzte EoP-Sicherheitslücke in Outlook
Thema:
Beliebte Bing-Downloads
Bing-Videos
-
Microsoft stellt das neue Bing und vieles mehr für Windows 11 vor
HIGHLIGHT
-
Bing mit ChatGPT: Microsoft stellt seinen "Kopilot fürs Netz" vor
-
Flight Simulator: Microsoft zeigt Stärken von Bing Maps in 3D-Welten
-
Flight Simulator: So werden aus flachen Bing-Maps grandiose Welten
-
Microsoft führt Suche in Windows, Office, Edge und Bing zusammen
Beiträge aus dem Forum
Interessante Links
- Bing
- Bing-Suche & Wallpaper für den Desktop
- News: Bing beendet Betaphase
- Microsoft-Themenspecial
- Künstliche-Intelligenz-Themenspecial
- OpenAI-Themenspecial
- Microsoft Edge-Themenspecial
- Windows 11-Themenspecial
- Google-Themenspecial
- Google Bard-Themencpecial
- Google Earth-Themenspecial
- News zum Internet & Webdiensten
Neue Nachrichten
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
- 110 Billiarden Kilometer: Forscher arbeiten an Karte von Pilzgeflechten
- Genialer 5G-Tarif ist zurück: Vodafone Unlimited-Flat für 14,99 Euro
- Zelda Ocarina of Time: Leak verrät neue Details zum Gameplay
- AMD trollt Apple und meint, dass das MacBook Neo beim Gaming versagt
- Doppelrumpfdesign: So soll Aerodynamik von Flugzeugen besser werden
- Erster bemannter Flugzeugflug mit Feststoffbatterien ist gelungen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon