Microsoft stopft scherwiegende Azure-Lücke

Der Sicherheitsanbieter Wiz Research hat eine Schwachstelle in Azure Active Directory (AAD) entdeckt, die es Unbefugten erlaubt, Ergebnisse von Microsofts Suchmaschine Bing zu manipulieren. Der Angriffsvektor basiert auf einer weit verbreiteten AAD-Fehlkonfiguration, durch die falsch konfigurierte Anwendungen unberechtigten Zugriffen ausgesetzt werden. Inzwischen wurde das Loch durch Microsoft gestopft.

Die Forscher fanden nach eigenen Angaben mehrere interne Apps von Microsoft, die Anfällig für diesen Angriff waren. Darunter war auch ein Content Management System für die Suchmaschine Bing. „Auf diese Weise konnten sie die Funktionen von Bing.com übernehmen, Suchergebnisse ändern und möglicherweise den Diebstahl von Office 365-Anmeldedaten von Millionen von Bing-Nutzern ermöglichen. Diese Zugangsdaten gewährten wiederum Zugriff auf private E-Mails und Dokumente von Nutzern“, teilte Wiz Research mit.

Auch Office-365-Konten angreifbar

Das Unternehmen weist darauf hin, dass für den „#BingBang“ genannte Angriff keine einzige Zeile Code benötigt wird. Microsoft sei unmittelbar nach Entdeckung des Fehlers informiert worden. Der Softwarekonzern habe den Fehler nicht nur schnell behoben, sondern auch Änderungen eingeführt, um künftige Risiken für Kunden zu minimieren.

Suchergebnisse von Bing konnten die Forscher über die falsch konfigurierte CMS-App in Echtzeit verändern. Zur Suche nach der besten Filmmusik ersetzten die Forscher das erste Ergebnis „Dune (2021)“ durch die eigene Lieblingsfilmmusik zum Film Hackers aus dem Jahr 1985.

In einem zweiten Schritt versuchten die Forscher, die Anfälligkeit für Cross-Site-Scripting gegen Office-365-Konten einzusetzen. Dabei stellten sie fest, dass es möglich war, die Office-365-Token jeglicher Bing-Nutzer zu kompromittieren. Da Bing die Möglichkeit biete, auch die Office-365-Daten von Nutzern zu durchsuchen, kommuniziere Bing mit Office 365 im Namen des angemeldeten Benutzers. Mit einer selbst entwickelten Cross-Site-Scripting-Malware sei es ihnen schließlich gelungen, Zugangs-Token für Office 365 zu stehlen. Mit einem solche Token erhalte ein Angreifer unter Umständen Zugang zu E-Mails, Teams-Nachrichten oder auch SharePoint-Dokumenten und OneDrive-Dateien.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google kündigt neue Sicherheitsfunktionen für Chrome an

Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…

11 Stunden ago

Cyberkriminelle nehmen Fertigungsbetriebe ins Visier

Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…

11 Stunden ago

o1: OpenAI stellt neues KI-Modell für komplexe Abfragen vor

Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…

3 Tagen ago

Zoom erhält IT-Sicherheits- kennzeichen des BSI

Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…

4 Tagen ago

Google verbessert Tab-Verwaltung in Chrome

iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.

4 Tagen ago

Identitätsdiebstahl: 58 Prozent der Deutschen sorgen sich um digitales Erbe

Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…

4 Tagen ago