Vor einigen Tagen hat ein griechischer Sicherheitsexperte eine gravierende Sicherheitslücke bei der Anmeldung an Office 365 beschrieben – und sich dabei beeindruckt gezeigt, wie schnell Microsoft einen Fix für das Problem hatte.
Die Fehlkonfiguration bei Microsoft sorgte dafür, dass man sich mit beliebigen Office-365-Konten anmelden konnte, wenn man nur die zugehörige Mailadresse kannte. Das Kennwort war nicht dafür erforderlich. Möglich machte dies eine funktionale Schwäche, die nach einer erfolgreichen Anmeldung an ein Office-365-Konto per ADFS (dafür reicht auch ein kostenloser Testzugang) den übergebenen Nutzernamen nicht mehr weiter prüfte. Hatte man sich also an sein eigenes Office 365 angemeldet, konnte man – vereinfacht gesagt – dem System einen beliebigen User einer anderen Organisation unterjubeln und hatte vollen Zugriff auf dessen Mailbox und Account.
Nach der Meldung hatte Microsoft das Problem innerhalb von wenigen Stunden korrigiert. Leider betrifft das aber nur die Office-365-Seite. Nebenbei hatte der Experte auch bemerkt, dass Microsofts Implementierung von ADFS nicht besonders sinnvoll gemacht ist – daran hat sich nichts geändert.
[Economy of mechanism – The road to hell is paved with SAML Assertions]
http://www.economyofmechanism.com/office365-authbypass.html
http://faq-o-matic.net/?p=7370