Microsoft schließt Cross-Site-Scripting-Lücke in Office 365

Ein Patch steht offenbar schon seit Dezember zur Verfügung. Der Entdecker der Lücke hat aber erst jetzt Details dazu veröffentlicht. Demnach war er in der Lage, mittels eingeschleusten JavaScript-Codes einen neuen Administrator anzulegen.

Microsoft hat ein Sicherheitsleck in Office 365 gestopft, das es Angreifern erlaubte, per Cross-Site-Scripting Benutzerkonten zu manipulieren. Der Entdecker der Lücke, der Cogmotive-Gründer Alan Byrne, hat nun in seinem Blog und in einem Youtube-Video Details zu der Schwachstelle veröffentlicht.

Office 365

„Das ist das perfekte Beispiel für einen einfachen Exploit, der einen Schaden von mehreren Milliarden Dollar verursachen kann“, schreibt Byrne. „Während wir uns immer weiter in die Cloud hinein bewegen, müssen wir uns der möglichen Sicherheitsrisiken bewusst sein.“

Die Anfälligkeit beruht ihm zufolge auf einen Fehler bei der Prüfung von Eingabefeldern. In der Vorsteinstellung von Office 365 seien Nutzer in der Lage, ihre Namen zu ändern. Der Inhalt dieser Felder sei nicht kontrolliert worden, weswegen es auch möglich gewesen sei, HTML-Code einzugeben.

In seinem Beispiel zeigt Byrne, wie JavaScript-Code eingeschleust werden kann, der immer ausgeführt wird, wenn der Name eines bestimmten Nutzers angezeigt werden soll. Der Code nutze zwei iFrames, um einen neuen Nutzer mit Administratorrechten anzulegen, der dann den Namen des zuvor manipulierten Nutzers wieder zurücksetze.

Beim Hinzufügen des neuen Administrators schickt Office 365 ihm ein vorläufiges Passwort, mit dem er sich einloggen und dann die vollständige Kontrolle über die Office-365-Implementierung eines Unternehmens übernehmen kann. Byrne zufolge kann ein Angreifer auf diese Art sogar den ursprünglichen Administrator aussperren.

Den Fehler meldete Byrne nach eigenen Angaben am 16. Oktober vergangenen Jahres an Microsoft. Der Softwarekonzern habe ihn am 19. Dezember korrigiert.

Eine Belohnung für das Aufdecken der Schwachstelle hat Byrne jedoch nicht erhalten, da Office 365 nicht unter Microsofts Prämienprogramm fällt. Er wird lediglich als Entdecker der Anfälligkeit erwähnt. Trotzdem lobt Byrne Microsoft für den Umgang mit seinem Fehlerbericht.

„Microsoft hat mit dem schnellen Schließen der Lücke einen wirklich guten Job gemacht und mich während des gesamten Verfahrens auf dem Laufenden gehalten. Ich habe viele Horrorgeschichten von anderen Leuten gehört, die Fehler an andere Firmen gemeldet haben und keine Reaktion erhielten, weswegen sie keine andere Wahl hatten, als das Problem öffentlich zu machen, bevor ein Fix erhältlich war.“

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

Noch keine Kommentare zu Microsoft schließt Cross-Site-Scripting-Lücke in Office 365

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *