{"id":279190,"date":"2023-03-30T15:47:37","date_gmt":"2023-03-30T13:47:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=279190"},"modified":"2023-04-01T11:04:14","modified_gmt":"2023-04-01T09:04:14","slug":"bigbang-microsoft-azure-schwachstelle-ermglicht-bing-search-hijacking-und-office-365-datenklau","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/30\/bigbang-microsoft-azure-schwachstelle-ermglicht-bing-search-hijacking-und-office-365-datenklau\/","title":{"rendered":"Bi(n)gBang: Microsoft Azure-Schwachstelle ermöglicht Bing Search Hijacking und Office 365-Datenklau"},"content":{"rendered":"

[English<\/a>]Unsch\u00f6ne Geschichte, auf die alle gewartet haben, und die die Gefahren der Cloud aufzeigt. Microsoftsd Azure-Cloud-Dienste erm\u00f6glichten eine Fehlkonfigurierung, die dann eine Sicherheitsl\u00fccke schuf. In der Folge konnten Angreifer potentiell Schadcode in die Suchergebnisseiten\u00a0 von Bing einschleusen, um diese zu manipulieren. Zudem w\u00e4re es m\u00f6glich gewesen, mit erbeuteten Bing-Anmelde-Tokens Daten aus Microsoft Office 365-Anwendungen abzugreifen. Wie hei\u00dft es so sch\u00f6n: Alles h\u00e4ngt mit allem zusammen. Hier ein Abriss, was gerade bekannt wurde.<\/p>\n

<\/p>\n

Das Bi(n)gBang-Ereignis in Azure<\/h2>\n

\"\"Es wird \"als der Bug des Jahres\" bezeichnet, eine zul\u00e4ssige Fehlkonfiguration von Microsoft Azure f\u00fchrte zu einer Sicherheitsl\u00fccke mit gravierenden Folgen. Hillai Ben-Sasson hat das Thema auf Twitter<\/a> angeschnitten und Jeremy Kirk weist in nachfolgendem Tweet<\/a> auf den Wiz-Blog-Beitrag BingBang: How a simple developer mistake could have led to Bing.com takeover<\/a> hin.<\/p>\n

\"Big-Bang:<\/a><\/p>\n

Sicherheitsforscher von Wiz beschreiben im betreffenden Dokument einen neuen Angriffsvektor, den sie in Azure Active Directory (AAD) identifiziert haben. Der Angriffsvektor basiert auf einer verbreiteten AAD-Fehlkonfiguration, die falsch konfigurierte Anwendungen f\u00fcr unbefugten Zugriff anf\u00e4llig macht. Das betraf auch das Content Management System (CMS), das Bing.com betreibt. Als Folge konnten die Sicherheitsforscher die Funktionen von Bing.com \u00fcbernehmen. Anschlie\u00dfend lie\u00dfen sich Bing.com-Suchergebnisse \u00e4ndern. Weiterhin vermuten die Sicherheitsforscher, dass der Diebstahl von Office 365-Anmeldedaten von Millionen von Bing-Nutzern m\u00f6glich sei. Diese Zugangsdaten gew\u00e4hrten wiederum Zugriff auf die privaten E-Mails und Dokumente der Nutzer. Die Sicherheitsforscher haben der Schwachstelle den treffenden Namen BigBang (ok pr\u00e4zise hei\u00dft es \"BingBang\" – aber BigBang gef\u00e4llt mir besser) verpasst.<\/p>\n

Azure Single Sign On (SSO)<\/h3>\n

Microsoft bietet seinen eigenen SSO-Dienst (Single Sign On) in Azure an. Azure Active Directory (AAD) ist der g\u00e4ngigste Authentifizierungsmechanismus f\u00fcr in Azure App Services oder Azure Functions erstellte Anwendungen. Die nachfolgende Anmeldeseite haben eigentlich alle Nutzer, die irgend einen Online-Dienst von Microsoft benutzt haben, schon mal gesehen. Man meldet sich \u00fcber E-Mail und Passwort (oder 2FA) am Microsoft-Konto an und erh\u00e4lt Zugriff auf die Dienste.<\/p>\n

\"Azure<\/p>\n

AAD bietet dabei verschiedene Arten des Kontozugriffs: mandantenabh\u00e4ngig, mandanten\u00fcbergreifend, pers\u00f6nliche Konten oder eine Kombination der beiden letzteren. Bei mandantenf\u00e4higen Anwendungen k\u00f6nnen nur Benutzer aus demselben Mandanten ein OAuth-Token f\u00fcr die App ausstellen. Bei mandantenf\u00e4higen Anwendungen hingegen kann jeder Azure-Tenant ein OAuth-Token f\u00fcr sie ausstellen. Daher m\u00fcssen App-Entwickler die Token in ihrem Code \u00fcberpr\u00fcfen und entscheiden, welcher Benutzer sich anmelden darf.<\/p>\n

Verwirrende Zust\u00e4ndigkeiten<\/h3>\n

Mit den verwalteten Diensten Azure App Services und Azure Functions k\u00f6nnen Entwickler\/Administratoren eine Authentifizierungsfunktion mit einem Mausklick zum Dienst hinzuf\u00fcgen (siehe folgende Abbildung). Diese komplizierte Architektur ist den Entwicklern der Apps nicht immer klar, und die Verantwortung f\u00fcr die Validierung der Token der Endnutzer ist ebenfalls unklar.<\/p>\n

\"Azure<\/a>
\nIdenty Provider (Quelle: Wiz)<\/p>\n

Infolgedessen sind Konfigurations- und Validierungsfehler weit verbreitet. Denn der Dienst stellt nur die G\u00fcltigkeit des Authentifizierungs-Tokens sicher. Es ist den Entwicklern und Administratoren der Anwendungen und Dienste meist nicht klar, dass sie die Verantwortung tragen, die Identit\u00e4t des Benutzers \u00fcber OAuth zu validieren und erst dann den entsprechend Zugriff zu erm\u00f6glichen.<\/p>\n

Bei der Single-Tenant-Authentifizierung sind die Auswirkungen auf den Tenant der Anwendung beschr\u00e4nkt – schreiben die Sicherheitsforscher<\/a>. Alle Benutzer desselben Tenants k\u00f6nnen eine Verbindung zur Anwendung herstellen. Kritisch wird es jedoch bei mandantenf\u00e4higen Anwendungen. Denn jeder Azure-Benutzer kann sich mit dem Authentifizierungs-Token bei der Anwendung ohne angemessene Validierung anmelden.<\/p>\n

Bing Trivia und der Bi(n)gBang<\/h2>\n

Als die Sicherheitsforscher diese Probleme und ihre potenziellen Auswirkungen erkannten, begannen sie, das Internet nach offenen Anwendungen zu durchsuchen. Die Ergebnisse haben \u00fcberrascht: 25 % aller von den Sicherheitsforschern gescannten mandantenf\u00e4higen Anwendungen waren anf\u00e4llig f\u00fcr einen sogenannten Authentifizierungs-Bypass, sprich die Authentifizierung der Benutzer wurde nicht ausreichend gepr\u00fcft.<\/p>\n

\u00dcberraschenderweise befand sich auch die von Microsoft selbst entwickelte Anwendung namens \"Bing Trivia\" in der Liste der anf\u00e4lligen Produkte. Da diese App falsch konfiguriert war, konnten sich die Forscher mit ihrem eigenen Azure-Benutzer bei ihr anmelden. Dann fanden sie ein Content Management System (CMS), das mit Bing.com verkn\u00fcpft war.<\/p>\n

Um zu \u00fcberpr\u00fcfen, ob dieses CMS tats\u00e4chlich die Live-Ergebnisse von Bing steuert, w\u00e4hlten sie ein Schl\u00fcsselwort im CMS aus und \u00e4nderten vor\u00fcbergehend dessen Inhalt. Sie \u00e4nderte ein Schl\u00fcsselwort im CMS in einen eigenen Begriff und stellten fest, dass diese \u00c4nderung in den Live-Ergebnissen der Bing.com-Suche ausgegeben wurde. Die manipulierten Ergebnisse mit Titel, Miniaturansicht und beliebigem Link erschien sofort auf Bing.com (siehe folgendes Bild mit dem originalen bing.com-Suchergebnis und dem manipulierten Ergebnis).<\/p>\n

\"Modified
\nBing.com Ergebnisse: Original links, manipuliert rechts, Quelle: Wiz<\/p>\n

Das war bereits der \"JackPot\", denn ein b\u00f6swilliger Akteur, der auf der Seite der Bing Trivia-App landete, h\u00e4tte jeden beliebigen Suchbegriff manipulieren und Fehlinformationskampagnen starten, Malwareseiten verlinken sowie andere Websites f\u00e4lschen und sich als solche ausgeben k\u00f6nnen.<\/p>\n

Office 365-Anmeldeinformationen von Bing-Benutzern stehlen<\/h2>\n

Aber es geht noch weiter. Die Wiz-Sicherheitsforscher testeten, ob aus bing.com auch Cross-Site Scripting (XSS)-Angriffe auf Office 365-Anwendungen m\u00f6glich seien. Bei einem Cross-Site Scripting (XSS)-Angriff werden b\u00f6sartige Scripte in eine vertrauensw\u00fcrdige Websites eingeschleust.<\/p>\n

Bei ihren Experimenten stellten die Wiz-Leute fest, dass sie mit ihren per XSS injizierten Scripten das Office 365-Token eines jeden Bing-Benutzers kompromittieren konnten. Damit hatten die Forscher den n\u00e4chsten Jackpot, denn bing.com und Office 365 sind ineinander integriert. Bing verf\u00fcgt \u00fcber einen sogenannten Arbeitsbereich (\"Work\"-Bereich). Dieser erm\u00f6glicht es Nutzern ihre Office 365-Daten zu durchsuchen. Um diese Funktion zu implementieren, kommuniziert Bing mit Office 365 im Namen des angemeldeten Benutzers. Die Forscher haben einen XSS-Payload f\u00fcr bing.com erstellt, der die Office 365-Zugangstoken der Benutzer stiehlt.<\/p>\n

Ein solches gestohlenes Token k\u00f6nnte ein potenzieller Angreifer den Zugriff auf die Office 365-Daten von Bing-Benutzern erm\u00f6glichen. Dazu geh\u00f6ren auch Zugriff auf Outlook-E-Mails, Kalender, Teams-Nachrichten, SharePoint-Dokumente und OneDrive-Dateien. Die Sicherheitsforscher von Wiz haben sich bei Tests auf den eigenen Nutzer beschr\u00e4nkt; es wurden keine Tests mit anderen Bing.com-Nutzern durchgef\u00fchrt.<\/p>\n

Ein b\u00f6swilliger Akteur mit demselben Zugang h\u00e4tte die beliebtesten Bing-Suchergebnisse mit derselben Nutzlast kapern und die sensiblen Daten von Millionen von Office 365-Nutzern abgreifen k\u00f6nnen. Das ist der Super-GAU – und w\u00e4re mit der neckischen ChatGPT-Integration, die im Anflug ist, auch nicht zu verhindern gewesen. Die Sicherheitsforscher meldeten ihre Erkenntnisse dem Microsoft Security Response Center (MSRC) und erhielten eine Bug-Bounty-Pr\u00e4mie von 40.000 US-Dollar. Microsoft hat noch am gleichen Tag einen Fix eingespielt und am 29. M\u00e4rz 2023 den Support-Beitrag Guidance on Potential Misconfiguration of Authorization of Multi-Tenant Applications that use Azure AD<\/a>.<\/p>\n

Es stellen sich Fragen<\/h2>\n

An dieser Stelle stellt sich die Frage, ob diese Schwachstelle nicht bereits l\u00e4ngst ausgenutzt wurde. Die Zahl der Hacks in letzter Zeit machen da schon nachdenklich. Und was mich ebenfalls umtreibt: Wie ist dieser Vorgang im Sinne der DSGVO f\u00fcr europ\u00e4ische Nutzer einzustufen? Wenn der Zugriff auf E-Mails oder Termine von Office 365-Konten m\u00f6glich waren, ist dies in meinen Augen ein DSGVO-Vorfall, der von Firmen, die dieses Produkt nutzen, potentiell gemeldet werden m\u00fcsste.<\/p>\n

Und die andere Frage, die mich besch\u00e4ftigt, lautet: \"Haben die Leute die Cloud noch im Griff\"? Die Entwicklung wird immer schneller, die IT-Strukturen werden dagegen komplexer. Der obige Sachverhalt zeigt, dass ein einfacher Fehler eines Entwicklers kritische Auswirkungen haben kann. Wie schreiben die Wiz-Sicherheitsforscher: \"Die Agilit\u00e4t, mit der wir als Cloud-Entwickler arbeiten, macht uns anf\u00e4llig f\u00fcr Fehler, weshalb wir den n\u00e4chsten unvermeidlichen Vorfall vorhersehen sollten. Unsere Widerstandsf\u00e4higkeit als Sicherheitsteams h\u00e4ngt davon ab, wie wir diese Fehler auffangen und entsch\u00e4rfen. Die Verhinderung einer versehentlichen Gef\u00e4hrdung sollte eine der wichtigsten S\u00e4ulen eines jeden Cloud-Sicherheitsprogramms sein.\" Hier schlie\u00dfe ich den letzten Satz mit \"Jungs, diesen Anspruch k\u00f6nnt ihr getrost knicken\", denn an dieser Stelle war leider das Geld alle, der Zust\u00e4ndige musste bei der Pr\u00fcfung gerade wegen Magenverstimmung auf's Klos und \u00fcberhaupt, der Gesch\u00e4ftsf\u00fchrer meinte \"funktioniert doch alles, wozu weiteres Geld ausgeben\". Oder wie seht ihr das so?<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Unsch\u00f6ne Geschichte, auf die alle gewartet haben, und die die Gefahren der Cloud aufzeigt. Microsoftsd Azure-Cloud-Dienste erm\u00f6glichten eine Fehlkonfigurierung, die dann eine Sicherheitsl\u00fccke schuf. In der Folge konnten Angreifer potentiell Schadcode in die Suchergebnisseiten\u00a0 von Bing einschleusen, um diese zu … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,823,4328],"class_list":["post-279190","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-office-365","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279190","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=279190"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279190\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=279190"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=279190"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=279190"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}