![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Bei Microsoft gab es gleich mehrere Schwachstellen, die es einem Angreifer bei geschickter Kombination erm\u00f6glichten, ein beliebiges Microsoft Outlook-, Microsoft Store- oder Microsoft Sway-Konto zu \u00fcbernehmen. Es reichte, wenn das Opfer auf einen Link klickt. Die Schwachstellen betrafen potentiell 400 Millionen Nutzer. Seit November 2018 sind die Schwachstellen beseitigt.
<\/p>\n
<\/p>\n
Aviva Zacks schreibt, dass man in einer ersten Sicherheitsuntersuchung, bei der Sicherheitsforscher nach kritischen Schwachstellen in Microsoft-Konten fahndeten, f\u00fcndig wurde. Man hatte den externen Sicherheitsforscher Sahad Nk<\/a> mit dieser Aufgabe beauftragt. Dieser Bug-Bounty-J\u00e4ger und Sicherheitsforscher arbeitete mit SafetyDetective zusammen. Der Sicherheitsforscher stie\u00df gleich auf mehrere Schwachstellen, die es einem Angreifer bei geschickter Verkn\u00fcpfung erm\u00f6glichen, ein beliebiges Microsoft Outlook-, Microsoft Store- oder Microsoft Sway-Konto zu \u00fcbernehmen. Es reicht, dass das Opfer auf einen Link klickt.<\/p>\n Unmittelbar nach dem Auffinden dieser Schwachstellen haben sich die Leute von SafetyDetective per Offenlegungsprogramm f\u00fcr Schwachstellen an Microsoft gewandt und mit dem Unternehmen kooperiert. Die Schwachstellen wurden im Juni an Microsoft gemeldet und Ende November 2018 behoben. Obwohl der Schwachstellennachweis nur f\u00fcr Microsoft Outlook und Microsoft Sway erstellt wurde, gehen die Sicherheitsforscher davon aus, dass er alle Microsoft-Konten einschlie\u00dflich des Microsoft Store betroffen waren. <\/p>\n Die Subdomain success[.]office[.]com<\/em> verwies mit seinem CNAME-Eintrag auf einen Microsoft Azure Web App-Service. W\u00e4hrend eines einfachen Host-Checks stellten die Sicherheitsforscher fest, dass die Anwendung nicht mehr verf\u00fcgbar war. Daher konnten sie die Subdomain \u00fcbernehmen, indem sie eine Azure-Webanwendung mit dem Namen successcenter-msprod <\/em>registrierten. <\/p>\n Der zweite Fehler besteht aus einer unsachgem\u00e4\u00dfen OAuth-Pr\u00fcfung. Denn Konten f\u00fcr Microsoft Outlook, den Store und Sway erm\u00f6glichen es, nach einer erfolgreichen Authentifizierung im zentralen Anmeldesystem von login[.]live[.]com <\/em><\/em>die URL https[:\/\/]success[.]office[.]com als g\u00fcltige \"wreply\"-URL zu verwenden und das Anmelde-Token zu verwenden. Es wird vermutet dass dies durch eine *.office.com Wildcard-Pr\u00fcfung passiert, die es erlaubt, allen Subdomains zu vertrauen.<\/p>\n Selbst wenn der Authentifizierungsinitiator outlook.com<\/em> oder sway.com<\/em> ist, erlaubt login.live.com<\/em> die Angabe https[:\/\/]success.office[.]com<\/em> als g\u00fcltige Umleitungs-URL und sendet die Login-Token an diese Dom\u00e4ne. Genau diese Domain war aber unter Kontrolle der Sicherheitsforscher. Dies f\u00fchrte zu einem Token-Leck auf dem Server der Sicherheitsforscher. <\/p>\n Die Sicherheitsforscher konnten das Token gegen ein Session-Token tauschen und sich mit dem Token des Opfers an dessen Konto anmelden, ohne einen Benutzernamen\/Passwort zu kennen. Dies erm\u00f6glicht es, alle OAuth zu umgehen und einen g\u00fcltigen Token zu erhalten. Dazu reichte es, wenn ein Opfer auf einen Link klickte, dann konnten die Sicherheitsforscher das Konto \u00fcbernehmen. <\/p>\n Anmerkung: Ich finde leider die Fundstelle nicht mehr. Aber im Hinterkopf habe ich die Information, dass verwaiste Azure-Subdomains schon in anderem Zusammenhang als Sicherheitsrisiko gesehen wurden. <\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":" Bei Microsoft gab es gleich mehrere Schwachstellen, die es einem Angreifer bei geschickter Kombination erm\u00f6glichten, ein beliebiges Microsoft Outlook-, Microsoft Store- oder Microsoft Sway-Konto zu \u00fcbernehmen. Es reichte, wenn das Opfer auf einen Link klickt. Die Schwachstellen betrafen potentiell 400 … Weiterlesen Die Information ist mir per Mail von Aviva Zacks zugegangen. Aviva Zacks hat das Thema im SafetyDetective-Blog im Artikel Microsoft Account Takeover Vulnerability Affecting 400 Million Users<\/a> dokumentiert.<\/p>\n
Sicherheitsuntersuchung offenbart kritische Schwachstellen<\/h2>\n
Bug #1: Subdomain Takeover (success.office[.]com)<\/h2>\n<\/p>\n
Bug #2: Unsachgem\u00e4\u00dfe OAuth-Pr\u00fcfung<\/h2>\n
\n