So ziemlich jeder Benutzer, der irgendwo irgendwie im Internet unterwegs ist, nutzte unter Garantie schon mindestens ein Dutzend Mal diese Technologie: OAuth – Open Authentication. Hierbei ist es zum Beispiel möglich sich mit seinem Account von unter anderem bei Facebook, Microsoft, Google anzumelden und dabei auf der eigentlich besuchten Seite mit diesem Account zu verifizieren. Zweck ist es nicht für jede Seite einen separaten Account anzulegen und sich entsprechend nicht überall anmelden zu müssen. Die normal sterblichen unter uns werden dieses Verfahren vielleicht in Apps benutzen (Anmelden mit Microsoft, Facebook, etc.). Auf der technischen Seite wird bei erfolgreicher Anmeldung ein Token generiert mit welcher die Seite entsprechende Daten des Benutzers abrufen kann und in seinem Namen Aktionen ausführen kann.
Hier gab es in den letzten Monaten eine gravierende Sicherheitslücke, mit welcher Angreife theoretisch die komplette Kontrolle des Accounts übernehmen konnten. Diese wurde erst nach Hinweisen externer Sicherheitsforscher behoben. Beo OAuth werden Domains hinterlegt, welche als Provider für das OAuth-Verfahren dieses Accounts fungieren dürfen. Bei Microsoft sind das zum Beispiel login.live.com oder microsoftlogin.com, etc. Bei einigen dieser eigentlich als sicher geltenden Domains war es jedoch möglich sogenannte Subdomains zu erhalten und somit eine eigene Seite unter dem Microsoft OAuth-Dach zu betreiben. Auf diese Weise war es dann möglich die Security-Tokens eines Accounts auszulesen und darüber dann Vollzugriff über den Account zu erhalten.
Laut den Sicherheitsforschern von CyberArk und Microsoft bestand diese Sicherheitslücke über einen längeren Zeitraum und konnte insbesondere über Web-Apps ausgenutzt werden, die über Microsoft’s Cloud-Dienst Azure erstellt wurden. Darüber hinaus teilte man mit, dass es, obwohl dieses Problem über einen längeren Zeitraum bestand, keine Hinweise auf einen Missbrauch vorliegen.
Quelle: CyberArk
Die Digitalisierung schreitet voran, wenn auch stellenweise etwas holprig. Insbesondere in den ländlichen Regionen lässt…
Das Massachusetts Institute of Technology (MIT) in Cambridge ist für seine weltweit angesehenen Studien bekannt.…
Die Rechtsstreitigkeiten zwischen Lenovo und dem Unternehmen Interdigital (IDC) liefen in den letzten Wochen ein…
Das Thema Cyberangriffe ist in den letzten Monaten so aktuell wie lange nicht mehr. Dieses…
Kurze Videos erfreuen sich im Internet an einer großen Beliebtheit. Dies hat verschiedene Gründe. So…
Von Zeit zu Zeit kann es sich aus technischen, nachhaltigen und finanziellen Gründen in der…
Diese Webseite benutzt Cookies.
Zeige Kommentare
Doppelter Text, über und unter dem Bild....
Danke, ist korrigiert.