Categories: SicherheitSoftware

Bug in Office 365 ermöglicht Diebstahl von Authentifizierungstoken

Das Öffnen einer Office-Datei auf einer bösartigen Website genügt, um an das Zugangstoken des jeweiligen Nutzers zu kommen. Ein erfolgreicher Angreifer kann sich aufgrund dieser Sicherheitslücke bei einem Sharepoint- oder einem anderen Microsoft-Office-Server als dieser Anwender ausgeben und alle ihm zugänglichen Dokumente entwenden.

Einen Hinweis auf diesen Bug fand die Sicherheitsfirma Adallom durch eine verdächtige HTTP-Anfrage bei einem Kunden. Sie ging von einer Word-Datei aus, die bei einem versteckten Dienst im Anonymisierungsnetzwerk TOR gehostet wurde, und wurde von einer Heuristik-Engine als hochriskant eingestuft. Die auf die Sicherheit von Software as a Service (SaaS) spezialisierte Firma meldete das Ergebnis ihrer Nachforschungen dazu am 29. Mai 2013 an das Microsoft Security Response Center (MSRC).

Einen Bugfix stellte Microsoft in diesem Monat am Dezember-Patchday bereit. In einem Blogeintrag führt Adalloms Chief Software Architect Noam Liran jetzt aus, wie er die Schwachstelle entdeckte und wie Angriffe darüber möglich sind. Demnach genügt es, einen Nutzer dazu zu bringen, auf den Link in einer E-Mail zu klicken, um seine Identität übernehmen zu können. Der Fehler betrifft eigentlich Office 365, aber durch ihre Integration mit dem Webdienst sind auch die Desktop-Versionen von Office 2013 betroffen. Neben Word sind PowerPoint, Excel, OneNote sowie SkyDrive Pro gefährdet.

Office 365 erfordert das Log-in des Nutzers in sein Konto. Beim Download eines Dokuments von einem Sharepoint-Server verifiziert es die Anmeldedaten des gegenwärtig angemeldeten Nutzers, indem es ein Authentifizierungstoken sendet. Das Token sollte eigentlich nur übertragen werden, wenn sich der Server auf der Domain Sharepoint.com befindet. Liran fand jedoch heraus, dass er über einen eigenen Server Antworten zurückgeben konnte, wie sie von einem legitimen Sharepoint-Server erwartet wurden – und der Computer des Anwenders übersandte daraufhin ohne Weiteres das Authentifizierungstoken.

„Jetzt kann mein bösartiger Webserver, der im Besitz des Authentifizierungstokens für Office 365 ist, einfach zur Sharepoint-Online-Site Ihrer Organisation gehen, alles herunterladen oder tun, was immer er will – und Sie werden nie davon erfahren“, schreibt der Sicherheitsexperte. „Sie werden tatsächlich nicht einmal mitbekommen, dass Sie angegriffen wurden! Es ist das perfekte Verbrechen.“

Mit einem Video illustriert Adallom den Ablauf eines solchen Angriffs. Microsoft beschreibt die als „wichtig“ eingestufte Schwachstelle CVE-2013-5054 in seinem Sicherheitsbulletin MS13-104 und nennt auch Noam Liran namentlich als ihren Entdecker.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Bernd Kling

Recent Posts

Unsicherer Fingerabdruckscanner: Banken ziehen Apps fürs Galaxy S10 zurück

National Westminster Bank und Royal Bank of Scotland sperren ihre Apps für Galaxy-S10-Nutzer im Play Store. HSBC unterbindet zudem die…

54 Minuten ago

Trend Micro: Schädliche App im Play Store bucht kostenpflichtige Abos

Sie fordert die Berechtigung für den Zugriff auf Benachrichtigungen. Das erlaubt es der App, den SMS-Bestätigungscode eines WAP-Abonnements zu lesen…

3 Stunden ago

Firefox 70 aktiviert Enhanced Tracking Protection

Der erweiterte Tracking-Schutz blockiert auch Kryptominer und Social-Media-Tracker. Firefox liefert zudem eine Statistik über gesperrte Inhalte. Verbesserungen an Kernkomponenten der…

4 Stunden ago

Neue Sicherheitsinitiative: Microsoft kündigt Secured-Core an

Die Funktion basiert auf Windows Defender System Guard. Sie schützt die Firmware eines Windows-10-PCs vor Hackerangriffen. Als Vorbild diesen die…

19 Stunden ago

Google Pixel 4: Kamera gut, aber nicht Spitze

Insgesamt reichen 112 Punkte im DxOMark-Test für einen achten Platz. Gegenüber dem Pixel 3 verbessert Google die Hauptkamera jedoch deutlich.…

21 Stunden ago

Google-Feed: Links mit Standard-Browser und nicht der Google-App öffnen

Links neben der Hauptstartseite bieten viele Android-Launcher die Möglichkeit, den Google-Feed anzuzeigen. Standardmäßig öffnen sich Links direkt in der auf…

21 Stunden ago