Logo faq-o-matic.net
Logo faq-o-matic.net

Office 365: Schwere Lücke bei der Anmeldung und schneller Fix

16 Mai 2016
von veröffentlicht am16. Mai 2016, 06:30 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: ADFS und SAML, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Vor einigen Tagen hat ein griechischer Sicherheitsexperte eine gravierende Sicherheitslücke bei der Anmeldung an Office 365 beschrieben – und sich dabei beeindruckt gezeigt, wie schnell Microsoft einen Fix für das Problem hatte.

Die Fehlkonfiguration bei Microsoft sorgte dafür, dass man sich mit beliebigen Office-365-Konten anmelden konnte, wenn man nur die zugehörige Mailadresse kannte. Das Kennwort war nicht dafür erforderlich. Möglich machte dies eine funktionale Schwäche, die nach einer erfolgreichen Anmeldung an ein Office-365-Konto per ADFS (dafür reicht auch ein kostenloser Testzugang) den übergebenen Nutzernamen nicht mehr weiter prüfte. Hatte man sich also an sein eigenes Office 365 angemeldet, konnte man – vereinfacht gesagt – dem System einen beliebigen User einer anderen Organisation unterjubeln und hatte vollen Zugriff auf dessen Mailbox und Account.

Nach der Meldung hatte Microsoft das Problem innerhalb von wenigen Stunden korrigiert. Leider betrifft das aber nur die Office-365-Seite. Nebenbei hatte der Experte auch bemerkt, dass Microsofts Implementierung von ADFS nicht besonders sinnvoll gemacht ist – daran hat sich nichts geändert.

[Economy of mechanism – The road to hell is paved with SAML Assertions]
http://www.economyofmechanism.com/office365-authbypass.html

Verwandte Beiträge:

  1. Office 2016 als Preview
    Microsoft hat eine Preview-Version von Office 2016 für interessierte Tester freigegeben. Das Test-Angebot wendet sich allerdings derzeit nur an Inhaber...
  2. Office 2003: Verlauf-Aufzeichnungen verhindern
    Unter Office 2003 finden wir immer wieder unter den Menüs Öffnen und Speichern unsere zuletzt verwendeten Dateien und Ordner –...
  3. Netzwerkprobleme mit Office-Live-AddIn
    Vor Kurzem berichtete ich, dass ich nach der Installation des Add-ins für Office Live plötzlich Probleme beim Internet aus dem...
  4. Microsoft Office 2010 Standard auf Remotedesktopserver Windows 2008 R2 aktivieren
    Dieser Beitrag erschien zuerst auf Bents Blog. Für einen Kunden musste ich kürzlich einen neuen Remotedesktopserver (ehemals Terminalserver) unter Windows...
  5. Office 2010: Möglichst nur in 32-Bit-Fassung installieren
    Seit wenigen Stunden ist Office 2010 für MSDN- und TechNet-Kunden als Download verfügbar. Volumenkunden werden in Kürze darauf zugreifen können,...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=7370
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!