Digital Life
12/11/2018

Fehler erlaubte einfache Übernahme von Microsoft-Office-Konten

Über einen manipulierten Link war es Hackern über längere Zeit möglich, Office-Konten zu kapern.

Ein indischer Systemprüfer hat mehrere Schwachstellen in Microsofts Nutzerverwaltung genutzt, um Zugriff auf die Office-Konten von Microsoft-Kunden zu erlangen, wie techcrunch berichtet. Der erste Fehler lag in einer unzureichend konfigurierten Microsoft-Webseite, nämlich success.office.com. Diese konnte der Hacker unter seine Kontrolle bringen. indem er sie mit seinem Azure-Cloudzugang verknüpfte. Dadurch hatte er auch Einsicht in alle Daten, die an diese Domain gesendet wurden.

Der Hacker fand außerdem heraus, dass er Microsoft-Office, Store- und Sway-Apps so manipulieren konnte, dass sie bestätigte Nutzeranmeldungen an diese Adresse schicken, nachdem sie sich über Microsofts Live-Loginsystem angemeldet hatten. Dadurch wurde es möglich, Nutzern einen manipulierten Link zuzuschicken, über den sie sich bei Microsofts Login-System anmelden. Mit der resultierenden "dieser Nutzer ist angemeldet"-Bestätigung, die an die gekaperte Domain geht, hätte der Hacker theoretisch uneingeschränkten Zugang zu den Nutzerkonten gehabt.

Die Fehler wurden an Microsoft gemeldet und mittlerweile behoben. Der ehrliche Finder der Sicherheitslücken wurde mit einer finanziellen Belohnung bedacht.