Bug in Office 365 ermöglicht Diebstahl von Authentifizierungstoken

Ein Nutzer wird durch den Link in einer E-Mail verleitet, eine Office-Datei auf einer präparierten Website zu öffnen. Mit dem Token dieses Nutzers kann der Angreifer bei einem Sharepoint- oder anderem Microsoft-Office-Server Dokumente entwenden. Ein Sicherheitupdate für die schon länger bestehende Lücke lieferte Microsoft in diesem Monat.

Das Öffnen einer Office-Datei auf einer bösartigen Website genügt, um an das Zugangstoken des jeweiligen Nutzers zu kommen. Ein erfolgreicher Angreifer kann sich aufgrund dieser Sicherheitslücke bei einem Sharepoint- oder einem anderen Microsoft-Office-Server als dieser Anwender ausgeben und alle ihm zugänglichen Dokumente entwenden.

Office 365

Einen Hinweis auf diesen Bug fand die Sicherheitsfirma Adallom durch eine verdächtige HTTP-Anfrage bei einem Kunden. Sie ging von einer Word-Datei aus, die bei einem versteckten Dienst im Anonymisierungsnetzwerk TOR gehostet wurde, und wurde von einer Heuristik-Engine als hochriskant eingestuft. Die auf die Sicherheit von Software as a Service (SaaS) spezialisierte Firma meldete das Ergebnis ihrer Nachforschungen dazu am 29. Mai 2013 an das Microsoft Security Response Center (MSRC).

Einen Bugfix stellte Microsoft in diesem Monat am Dezember-Patchday bereit. In einem Blogeintrag führt Adalloms Chief Software Architect Noam Liran jetzt aus, wie er die Schwachstelle entdeckte und wie Angriffe darüber möglich sind. Demnach genügt es, einen Nutzer dazu zu bringen, auf den Link in einer E-Mail zu klicken, um seine Identität übernehmen zu können. Der Fehler betrifft eigentlich Office 365, aber durch ihre Integration mit dem Webdienst sind auch die Desktop-Versionen von Office 2013 betroffen. Neben Word sind PowerPoint, Excel, OneNote sowie SkyDrive Pro gefährdet.

Office 365 erfordert das Log-in des Nutzers in sein Konto. Beim Download eines Dokuments von einem Sharepoint-Server verifiziert es die Anmeldedaten des gegenwärtig angemeldeten Nutzers, indem es ein Authentifizierungstoken sendet. Das Token sollte eigentlich nur übertragen werden, wenn sich der Server auf der Domain Sharepoint.com befindet. Liran fand jedoch heraus, dass er über einen eigenen Server Antworten zurückgeben konnte, wie sie von einem legitimen Sharepoint-Server erwartet wurden – und der Computer des Anwenders übersandte daraufhin ohne Weiteres das Authentifizierungstoken.

„Jetzt kann mein bösartiger Webserver, der im Besitz des Authentifizierungstokens für Office 365 ist, einfach zur Sharepoint-Online-Site Ihrer Organisation gehen, alles herunterladen oder tun, was immer er will – und Sie werden nie davon erfahren“, schreibt der Sicherheitsexperte. „Sie werden tatsächlich nicht einmal mitbekommen, dass Sie angegriffen wurden! Es ist das perfekte Verbrechen.“

Mit einem Video illustriert Adallom den Ablauf eines solchen Angriffs. Microsoft beschreibt die als „wichtig“ eingestufte Schwachstelle CVE-2013-5054 in seinem Sicherheitsbulletin MS13-104 und nennt auch Noam Liran namentlich als ihren Entdecker.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Microsoft, Office 2013, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Bug in Office 365 ermöglicht Diebstahl von Authentifizierungstoken

Kommentar hinzufügen
  • Am 17. Dezember 2013 um 18:59 von Judas Ischias

    So eine lange Wartezeit um das Problem aus der Welt zu schaffen, spricht nicht für MS, ich als Kunde würde mich da jetzt nicht gerade gut aufgehoben fühlen.

  • Am 18. Dezember 2013 um 6:20 von Frank Furter

    Was ist so neu am Verhalten von MS?
    MS ist nicht das Rote Kreuz oder die Heilsarmee, MS ist ein Konzern der Geld verdienen will. Deshalb werden vorhandene Produkte und Dienstleistungen nicht perfektioniert, sondern es werden alle paar Jahre neue Produkte mit neuen Konzepten auf den Markt gebracht, mit deren Einführung sich vortrefflich Geld verdienen lässt.

    P.S. wir haben beschlossen, weder Cloud-basierte Datenspeicherung noch Anwendungen einzusetzen, weil wir noch ein bisschen Kontrolle darüber haben wollen, was wie und wo mit unseren Daten geschieht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *