Logo faq-o-matic.net
Logo faq-o-matic.net

Office 365: Schwere Lücke bei der Anmeldung und schneller Fix

von veröffentlicht am16. Mai 2016, 06:30 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: ADFS und SAML, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Vor einigen Tagen hat ein griechischer Sicherheitsexperte eine gravierende Sicherheitslücke bei der Anmeldung an Office 365 beschrieben – und sich dabei beeindruckt gezeigt, wie schnell Microsoft einen Fix für das Problem hatte.

Die Fehlkonfiguration bei Microsoft sorgte dafür, dass man sich mit beliebigen Office-365-Konten anmelden konnte, wenn man nur die zugehörige Mailadresse kannte. Das Kennwort war nicht dafür erforderlich. Möglich machte dies eine funktionale Schwäche, die nach einer erfolgreichen Anmeldung an ein Office-365-Konto per ADFS (dafür reicht auch ein kostenloser Testzugang) den übergebenen Nutzernamen nicht mehr weiter prüfte. Hatte man sich also an sein eigenes Office 365 angemeldet, konnte man – vereinfacht gesagt – dem System einen beliebigen User einer anderen Organisation unterjubeln und hatte vollen Zugriff auf dessen Mailbox und Account.

Nach der Meldung hatte Microsoft das Problem innerhalb von wenigen Stunden korrigiert. Leider betrifft das aber nur die Office-365-Seite. Nebenbei hatte der Experte auch bemerkt, dass Microsofts Implementierung von ADFS nicht besonders sinnvoll gemacht ist – daran hat sich nichts geändert.

[Economy of mechanism – The road to hell is paved with SAML Assertions]
http://www.economyofmechanism.com/office365-authbypass.html

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!