So ziemlich jeder Benutzer, der irgendwo irgendwie im Internet unterwegs ist, nutzte unter Garantie schon mindestens ein Dutzend Mal diese Technologie: OAuth – Open Authentication. Hierbei ist es zum Beispiel möglich sich mit seinem Account von unter anderem bei Facebook, Microsoft, Google anzumelden und dabei auf der eigentlich besuchten Seite mit diesem Account zu verifizieren. Zweck ist es nicht für jede Seite einen separaten Account anzulegen und sich entsprechend nicht überall anmelden zu müssen. Die normal sterblichen unter uns werden dieses Verfahren vielleicht in Apps benutzen (Anmelden mit Microsoft, Facebook, etc.). Auf der technischen Seite wird bei erfolgreicher Anmeldung ein Token generiert mit welcher die Seite entsprechende Daten des Benutzers abrufen kann und in seinem Namen Aktionen ausführen kann.
Allerdings wird dieses Verfahren gerade bei Microsoft auch in größeren und kritischeren Unternehmensstrukturen eingesetzt (Stichwort Active Directory und Azure Active Directory). Verständlicherweise geht es hier um sehr sensible Daten.
Hier gab es in den letzten Monaten eine gravierende Sicherheitslücke, mit welcher Angreife theoretisch die komplette Kontrolle des Accounts übernehmen konnten. Diese wurde erst nach Hinweisen externer Sicherheitsforscher behoben. Beo OAuth werden Domains hinterlegt, welche als Provider für das OAuth-Verfahren dieses Accounts fungieren dürfen. Bei Microsoft sind das zum Beispiel login.live.com oder microsoftlogin.com, etc. Bei einigen dieser eigentlich als sicher geltenden Domains war es jedoch möglich sogenannte Subdomains zu erhalten und somit eine eigene Seite unter dem Microsoft OAuth-Dach zu betreiben. Auf diese Weise war es dann möglich die Security-Tokens eines Accounts auszulesen und darüber dann Vollzugriff über den Account zu erhalten.
Laut den Sicherheitsforschern von CyberArk und Microsoft bestand diese Sicherheitslücke über einen längeren Zeitraum und konnte insbesondere über Web-Apps ausgenutzt werden, die über Microsoft’s Cloud-Dienst Azure erstellt wurden. Darüber hinaus teilte man mit, dass es, obwohl dieses Problem über einen längeren Zeitraum bestand, keine Hinweise auf einen Missbrauch vorliegen.
Quelle: CyberArk
Doppelter Text, über und unter dem Bild….
Danke, ist korrigiert.