Office 365-Bug ermöglichte Zugriff auf alle Daten beliebiger Nutzer
In den Authentifizerungs-Prozessen von Microsofts Office 365 steckte bis Anfang des Jahres ein schwerwiegender Fehler, der Angreifern einen Zugriff auf alle Daten eines Accounts gewährt hätte. Angesichts des Umfangs, in dem das Produkt eingesetzt wird, stellte dies ein nicht zu unterschätzendes Problem dar.
Denn eine erfolgreiche Übernahme eines Kontos ermöglicht hier nicht nur einen Zugriff auf persönliche Informationen über Anwender, sondern auch auf deren komplette E-Mail-Kommunikation und Dateien, die auf OneDrive gespeichert sind. Ein daraus entstehender Schaden mag sich bei Privatnutzern noch im Rahmen halten, allerdings gelang es Microsoft auch, eine ganze Reihe von Unternehmen für die Nutzung des Cloud-Dienstes zu gewinnen, so dass hier auch hochsensible interne Daten von Firmen wie British Airways, Vodafone, Verizon und anderen gefährdet waren.
Entdeckt wurde das Problem von den zwei Sicherheitsforschern Yiannis Kakavas and Klemen Bratec, die daraufhin Microsoft informierten und jetzt auch einen technischen Bericht öffentlich machten. In Redmond reagierte man umgehend und bereits sieben Stunden später konnte die Sicherheitslücke behoben werden. Das war am 5. Januar.
"Die Angriffsfläche war ziemlich groß und umfasste Outlook Online, OneDrive, Skype for Business, OneNote - abhängig davon, was die Firmen lizenziert hatten", erklärten die beiden Experten gegenüber dem Kaspersky-Blog ThreatPost. Unklar ist, wie lange die Sicherheitslücke bereits in dem Authentifizierungs-Prozess schlummerte. Obwohl sie im Prinzip leicht auszunutzen war, wenn man sie erst einmal entdeckt hatte, gibt es keine Anzeichen, dass tatsächlich ein Missbrauch stattfand.
Das Problem verbarg sich in der Implementierung der Security Assertion Markup Language (SAML) 2.0. Der Fehler ermöglichte es im Grunde, Sessions zu entführen. Dafür benötigte man lediglich einen eigenen Test-Account für Office 365 und eine eigene Installation eines SAML 2.0 Identity Providers. Wer sich dann mit der Technologie etwas auskannte, konnte mit in einer einmal bestätigten Verbindung schlicht den Nutzernamen abändern und so auf ein beliebiges anderes Konto zugreifen.
Die Sache zeigt einmal mehr das Problem auf, das mit der zunehmenden Verlagerung von Aufgaben und Informationen an wenige zentrale Cloud-Dienste einhergeht. Auch bei einer dezentralen Speicherung von Daten besteht natürlich keine Gewähr einer absoluten Sicherheit. Doch kann der Schaden im Zweifelsfall auf einen konkreten Fall beschränkt bleiben, während hier gleich sehr viele Unternehmen hätten in Mitleidenschaft gezogen werden können.
Entdeckt wurde das Problem von den zwei Sicherheitsforschern Yiannis Kakavas and Klemen Bratec, die daraufhin Microsoft informierten und jetzt auch einen technischen Bericht öffentlich machten. In Redmond reagierte man umgehend und bereits sieben Stunden später konnte die Sicherheitslücke behoben werden. Das war am 5. Januar.
"Die Angriffsfläche war ziemlich groß und umfasste Outlook Online, OneDrive, Skype for Business, OneNote - abhängig davon, was die Firmen lizenziert hatten", erklärten die beiden Experten gegenüber dem Kaspersky-Blog ThreatPost. Unklar ist, wie lange die Sicherheitslücke bereits in dem Authentifizierungs-Prozess schlummerte. Obwohl sie im Prinzip leicht auszunutzen war, wenn man sie erst einmal entdeckt hatte, gibt es keine Anzeichen, dass tatsächlich ein Missbrauch stattfand.
Das Problem verbarg sich in der Implementierung der Security Assertion Markup Language (SAML) 2.0. Der Fehler ermöglichte es im Grunde, Sessions zu entführen. Dafür benötigte man lediglich einen eigenen Test-Account für Office 365 und eine eigene Installation eines SAML 2.0 Identity Providers. Wer sich dann mit der Technologie etwas auskannte, konnte mit in einer einmal bestätigten Verbindung schlicht den Nutzernamen abändern und so auf ein beliebiges anderes Konto zugreifen.
Die Sache zeigt einmal mehr das Problem auf, das mit der zunehmenden Verlagerung von Aufgaben und Informationen an wenige zentrale Cloud-Dienste einhergeht. Auch bei einer dezentralen Speicherung von Daten besteht natürlich keine Gewähr einer absoluten Sicherheit. Doch kann der Schaden im Zweifelsfall auf einen konkreten Fall beschränkt bleiben, während hier gleich sehr viele Unternehmen hätten in Mitleidenschaft gezogen werden können.
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Microsoft erklärt: Das sind die Update-Typen für Windows 11
- VW ID Polo: Elektro-Kleinwagen startet in Kürze für unter 25.000 Euro
- Nächstes FritzOS-Update sichert WireGuard-VPN per Kill-Switch
- Lidl Datenleck: Hacker erbeuten sensible Kundendaten im Netz
- Disney+ plant Gratis-Tarif: Werbefinanziertes Streaming kommt
- Fenster bricht im Flug, saugt Mann teilweise aus einer Ryanair-Maschine
- Galaxy Watch 9 & Ultra 2: Samsung setzt auf neue CPU & größere Akkus
Videos
Beliebte Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen