Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Office 365 pwned – można było omijać uwierzytelnienie
Microsoft załatał (w 7 godzin od zgłoszenia!) krytyczny błąd umożliwiający ominięcie uwierzytelnienia do kont Office 365 (chodziło m.in. również o dostęp do plików składowanych w OneDrive, pocztę elektroniczną, itp):
An attacker exploiting this vulnerability could gain unrestricted access to a victim’s Office 365 account, including access to their email, files stored in OneDrive etc.
Całość dotyczyła kont skonfigurowanych w systemie umożliwiającym na SSO (Single Sign On) w powiązaniu z domeną lokalnej firmy.
Mając tysiące kont idealnie mieć takie rozwiązanie – loguję się do mojej domeny i mam od razu dostęp do Office 365. Całość można zrealizować np. z wykorzystaniem AD FS (Active Directory Federation Services) i to właśnie ten typ konfiguracji był podatny.
Co więcej, cały czas istnieje łatwa metoda na anonimowe sprawdzenie, która z firm korzysta z Office 365 właśnie w tym modelu – wystarczy jeden URL z podaniem nazwy domeny (warto zerknąć poniżej na słowo klucz: „Federated”):
Wśród większych firm korzystających z tego modelu konfiguracji Office 365 autor znaleziska wymienia:
- Microsoft (well, duh)
- Vodafone
- British Telecommunications plc
- Verizon
- International Monetary Fund
- Royal Dutch Shell
- The Daily Mail
- Novartis Pharma AG
- Pfizer
- Toyota Motor North America
- Cisco
- IBM
- Intel
- Pricewaterhouse Coopers (PwC)
- KPMG
- Scania AB
- Vinci
Błąd został zgłoszony w ramach Microsoftowego programu bug-bounty, gdzie wypłaty potrafią sięgać nawet kwot $100 000+
–Michał Sajdak
Nie do konca sie orientuje, ale ta wyrazna sugestia, ze zalatali w ciagu 7h jest przedsmiewcza czy pochwala? Kontrastowo przy innych bugach to dlugo/krotko?
@frankesztajn bywały przypadki, że trwało to troszkę dłużej…
Krótko.