Bing & Office 365: Fehler in Azure lassen Datenklau zu

B2B Cyber Security ShortNews

Beitrag teilen

Microsoft ist seinen eigenen Konfigurationsherausforderungen von Azure Active Directory – AAD zum Opfer gefallen. Durch die Fehlkonfiguration gelang es Experten einige Bing-Suchergebnisse mit Schadcode zu versehen, womit Microsoft 365-Nutzer offengelegt wurden.

Die Experten von Wiz Research haben die Konfigurationsfehler gefunden und für Tests ausgenutzt. Microsoft hat die Experten mit einer BugBounty-Prämie belohnt und die Fehler sofort behoben. Was war passiert? Die Experten beschreiben den Vorfall:

Anzeige

Manipulierte Bing-Suchergebnisse samt Schadcode

„Diese Anwendungen ermöglichten es uns, verschiedene Arten sensibler Microsoft-Daten anzuzeigen und zu ändern. In einem bestimmten Fall konnten wir Suchergebnisse auf Bing.com manipulieren und XSS-Angriffe auf Bing-Benutzer durchführen, wodurch möglicherweise Office 365-Daten von Kunden wie E-Mails, Chats und Dokumente offengelegt wurden.“

Azure Active Directory (AAD)

🔎 Mit der Sicherheitslücke konnten die WIZ-Researcher das Suchergebnis in Bing verändern (Bild: Wiz Research).

Microsoft bietet seinen eigenen SSO-Dienst in AAD, an, einer der gebräuchlichsten Authentifizierungsmechanismen für Apps die in Azure App Services oder Azure Functions erstellt wurden. AAD bietet verschiedene Arten des Kontozugriffs: Single-Tenant, Multi-Tenant, persönliche Konten oder eine Kombination der beiden letzteren. Single-Tenant-Anwendungen erlauben nur Benutzern desselben Mandanten, ein OAuth-Token für die App auszustellen. Multi-Tenant-Anwendungen hingegen ermöglichen es jedem Azure-Mandanten, ein OAuth-Token für sie auszustellen. Daher müssen App-Entwickler die Token in ihrem Code überprüfen und entscheiden, welcher Benutzer sich anmelden darf.

„Im Fall von Azure App Services und Azure Functions sehen wir ein Lehrbuchbeispiel für Verwirrung bei geteilter Verantwortung. Diese verwalteten Dienste ermöglichen es Benutzern, eine Authentifizierungsfunktion mit einem Klick auf eine Schaltfläche hinzuzufügen, ein scheinbar reibungsloser Prozess für den Anwendungseigentümer. Der Dienst stellt jedoch nur die Gültigkeit des Tokens sicher. Anwendungseigentümern ist nicht klar, dass sie dafür verantwortlich sind, die Identität des Benutzers über OAuth-Ansprüche zu validieren und den Zugriff entsprechend bereitzustellen.“

Microsoft hat schnell reagiert und die Lücke repariert

„Wir haben mehrere hochwirksame, anfällige Microsoft-Anwendungen gefunden. Eine dieser Apps ist ein Content-Management-System (CMS), das Bing.com antreibt und es uns ermöglichte, nicht nur Suchergebnisse zu ändern, sondern auch wirkungsvolle XSS-Angriffe auf Bing-Benutzer zu starten. Diese Angriffe könnten die persönlichen Daten der Benutzer gefährden, einschließlich Outlook-E-Mails und SharePoint-Dokumente.“

Alle Probleme wurden dem MSRC-Team gemeldet. Es wurden die anfälligen Anwendungen repariert, die Kundenanleitung aktualisiert und einige AAD-Funktionen gepatcht, um die Gefährdung der Kunden zu verringern. Der technische Ablauf der Attacke wird in einem Blog geschildert.

Mehr bei WIZ.io

 

Passende Artikel zum Thema

Schwachstellen in IoT-Cloud-Plattform OvrC

Sicherheitsforscher haben insgesamt zehn Schwachstellen in der OvrC-Cloudplattform entdeckt. Dadurch war es Angreifern möglich, auf Geräte wie Kameras, Router oder ➡ Weiterlesen

Cyberangriffe auf Rekordkurs – kommt KI zu Hilfe?

Die Bedrohungslage im Bereich Cybersicherheit ist hierzulande weiterhin angespannt: Laut einer Bitkom-Umfrage aus dem Sommer waren im Erhebungszeitraum 81 Prozent ➡ Weiterlesen

eCommerce-Marktplatz im Darknet mit Black Friday 

Es ist eine Parallelwelt: Kunden bewerten in Shops im Darknet die Qualität des beworbenen Falschgelds, Handfeuerwaffe bis hin zur Panzerfaust ➡ Weiterlesen

Russische Malware-Kampagne

Im September 2024 entdeckte die Google Threat Analysis Group (TAG) und Mandiant „UNC5812“, eine mutmaßliche hybride russische Spionage- und Beeinflussungskampagne. ➡ Weiterlesen

Cyberattacken auf Gesundheitseinrichtungen nehmen zu

Eine US-amerikanische Studie zur Cybersicherheit im Gesundheitswesen hat ergeben, dass das Patientenwohl immer häufiger durch Cyberangriffe gefährdet ist. Neun von ➡ Weiterlesen

PipeMagic-Backdoor versteckt sich in ChatGPT-Anwendung

Der Trojaner PipeMagic-Backdoor kommt über eine gefälschte ChatGPT-Anwendung ins Unternehmensnetzwerk. Mit ihm können die Hacker sowohl vertrauliche Daten extrahieren als ➡ Weiterlesen

Perfctl: Linux-Malware greift seit Jahren Millionen Server an

Seit 2021 befällt die ausgeklügelte Linux-Malware „Perfctl“ massenweise Linux-Server mit falschen Konfigurationen und nutzt diese als Proxy-Server für Kryptomining. Wegen ➡ Weiterlesen

LLM-Jacking-Angriffe: Alarmierende Zunahme

Mit Zunahme von LLMs (Large Language Models) nimmt auch die Bedrohung durch LLM-Jacking-Angriffe zu. Dabei verschaffen sich Cyberkriminelle mit gestohlenen ➡ Weiterlesen