Office 365 pwned – można było omijać uwierzytelnienie

Microsoft załatał (w 7 godzin od zgłoszenia!) krytyczny błąd umożliwiający ominięcie uwierzytelnienia do kont Office 365 (chodziło m.in. również o dostęp do plików składowanych w OneDrive, pocztę elektroniczną, itp):

An attacker exploiting this vulnerability could gain unrestricted access to a victim’s Office 365 account, including access to their email, files stored in OneDrive etc.

Całość dotyczyła kont skonfigurowanych w systemie umożliwiającym na SSO (Single Sign On) w powiązaniu z domeną lokalnej firmy.

Źródło: office365support.ca

Mając tysiące kont idealnie mieć takie rozwiązanie – loguję się do mojej domeny i mam od razu dostęp do Office 365. Całość można zrealizować np. z wykorzystaniem AD FS (Active Directory Federation Services) i to właśnie ten typ konfiguracji był podatny.

Co więcej, cały czas istnieje łatwa metoda na anonimowe sprawdzenie, która z firm korzysta z Office 365 właśnie w tym modelu – wystarczy jeden URL z podaniem nazwy domeny (warto zerknąć poniżej na słowo klucz: „Federated”):

Wśród większych firm korzystających z tego modelu konfiguracji Office 365 autor znaleziska wymienia:

• Microsoft (well, duh)
• Vodafone
• British Telecommunications plc
• Verizon
• International Monetary Fund
• Royal Dutch Shell
• The Daily Mail
• Novartis Pharma AG
• Pfizer
• Toyota Motor North America
• Cisco
• IBM
• Intel
• Pricewaterhouse Coopers (PwC)
• KPMG
• Scania AB
• Vinci

Błąd został zgłoszony w ramach Microsoftowego programu bug-bounty, gdzie wypłaty potrafią sięgać nawet kwot $100 000+

–Michał Sajdak