Categories: SicherheitSoftware

Bug in Office 365 ermöglicht Diebstahl von Authentifizierungstoken

Das Öffnen einer Office-Datei auf einer bösartigen Website genügt, um an das Zugangstoken des jeweiligen Nutzers zu kommen. Ein erfolgreicher Angreifer kann sich aufgrund dieser Sicherheitslücke bei einem Sharepoint- oder einem anderen Microsoft-Office-Server als dieser Anwender ausgeben und alle ihm zugänglichen Dokumente entwenden.

Einen Hinweis auf diesen Bug fand die Sicherheitsfirma Adallom durch eine verdächtige HTTP-Anfrage bei einem Kunden. Sie ging von einer Word-Datei aus, die bei einem versteckten Dienst im Anonymisierungsnetzwerk TOR gehostet wurde, und wurde von einer Heuristik-Engine als hochriskant eingestuft. Die auf die Sicherheit von Software as a Service (SaaS) spezialisierte Firma meldete das Ergebnis ihrer Nachforschungen dazu am 29. Mai 2013 an das Microsoft Security Response Center (MSRC).

Einen Bugfix stellte Microsoft in diesem Monat am Dezember-Patchday bereit. In einem Blogeintrag führt Adalloms Chief Software Architect Noam Liran jetzt aus, wie er die Schwachstelle entdeckte und wie Angriffe darüber möglich sind. Demnach genügt es, einen Nutzer dazu zu bringen, auf den Link in einer E-Mail zu klicken, um seine Identität übernehmen zu können. Der Fehler betrifft eigentlich Office 365, aber durch ihre Integration mit dem Webdienst sind auch die Desktop-Versionen von Office 2013 betroffen. Neben Word sind PowerPoint, Excel, OneNote sowie SkyDrive Pro gefährdet.

Office 365 erfordert das Log-in des Nutzers in sein Konto. Beim Download eines Dokuments von einem Sharepoint-Server verifiziert es die Anmeldedaten des gegenwärtig angemeldeten Nutzers, indem es ein Authentifizierungstoken sendet. Das Token sollte eigentlich nur übertragen werden, wenn sich der Server auf der Domain Sharepoint.com befindet. Liran fand jedoch heraus, dass er über einen eigenen Server Antworten zurückgeben konnte, wie sie von einem legitimen Sharepoint-Server erwartet wurden – und der Computer des Anwenders übersandte daraufhin ohne Weiteres das Authentifizierungstoken.

„Jetzt kann mein bösartiger Webserver, der im Besitz des Authentifizierungstokens für Office 365 ist, einfach zur Sharepoint-Online-Site Ihrer Organisation gehen, alles herunterladen oder tun, was immer er will – und Sie werden nie davon erfahren“, schreibt der Sicherheitsexperte. „Sie werden tatsächlich nicht einmal mitbekommen, dass Sie angegriffen wurden! Es ist das perfekte Verbrechen.“

Mit einem Video illustriert Adallom den Ablauf eines solchen Angriffs. Microsoft beschreibt die als „wichtig“ eingestufte Schwachstelle CVE-2013-5054 in seinem Sicherheitsbulletin MS13-104 und nennt auch Noam Liran namentlich als ihren Entdecker.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Vorinstallierte Schadsoftware auf IoT-Geräten

Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…

1 Tag ago

iOS und iPadOS 18.2 beseitigen 21 Sicherheitslücken

Schädliche Apps können unter Umständen einen Systemabsturz auslösen. Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung.

2 Tagen ago

Top-Malware im November: Infostealer Formbook bleibt Nummer 1

Sein Anteil an allen Infektionen steigt in Deutschland auf 18,5 Prozent. Das Botnet Androxgh0st integriert…

2 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome

Betroffen sind Chrome 131 und früher für Windows, macOS und Linux. Angreifer können unter Umständen…

2 Tagen ago

Data Analytics: Dienstleister wachsen zweistellig

Marktforscher Lündendonk erwartet für das Jahr 2025 ein durchschnittliches Umsatzwachstum von 14,9 Prozent.

2 Tagen ago

Open-Source-Malware auf Rekordniveau

Alarmierender Anstieg von Open-Source-Malware / Seit 2019 haben Sonatype-Analysen mehr als 778.500 bösartige Pakete aufgedeckt

3 Tagen ago