X

Office 365, Teams etc.:
Microsoft hatte eine massive Sicherheitslücke

An Sicherheitslücken haben sich die meisten Computer-Nutzer zwar durchaus gewöhnt, die dazugehörigen Patches sind längst Alltag. Das ist auch nicht schlimm, wenn nichts passiert. Doch bei der Microsoft-Suchmaschine Bing gab es eine Lücke, die es mehr als in sich hatte.
30.03.2023  17:45 Uhr
Es gibt immer wieder Schwachstellen, die einem ein gutes Stück weit den Atem stocken lassen, und genau so eine konnten die Sicherheitsforscher von Wiz im Januar dieses Jahres aufspüren (via Wall Street Journal). Diese Lücke erlaubte es, Suchergebnisse so zu manipulieren, dass es möglich war, an private Informationen anderer Bing-Nutzer zu gelangen. Auf diese Weise war etwa der Zugriff auf Teams, Outlook und Office 365 möglich.

Fehlkonfigurationen in der Azure Active Directory

Verantwortlich dafür war laut Wiz Research Microsofts Cloud-Computing-Plattform Azure bzw. eine dortige Fehlkonfiguration. Konkret war es eine Schwachstelle im Identitäts- und Zugriffsverwaltungsdienst von Azure Active Directory (AAD). Dabei sind die Mehrinstanz-Berechtigungen der Plattform durch jeden Azure-Nutzer zugänglich, weshalb es erforderlich ist, dass eine Überprüfung stattfinden muss. Allerdings sind hier Fehlkonfigurationen alles andere als eine Seltenheit.

Wiz Research zeigt, wie man die Bing-Lücke missbrauchen konnte
videoplayer01:25
Laut Wiz fehlte rund 25 Prozent der mehrinstanzenfähigen Apps eine entsprechende Validierung, dazu zählte Bing Trivia. Die Sicherheitsforscher konnten sich dort mit ihren eigenen Konten einloggen und darüber sogar die Suchergebnisse von Bing manipulieren. Weitere Zugriffe waren bei Office 365, Outlook, Microsoft Teams, SharePoint und OneDrive möglich, also im Wesentlichen ein großer Teil des Microsoft-Produktangebots.

Laut Wiz hatten mehr als 1000 Apps eine solche Fehlkonfiguration. Diese wurde Ende Januar an Microsoft gemeldet, geschlossen wurde die Bing-Lücke am 2. Februar 2023. Weitere betroffene Apps folgten Ende Februar, die letzte wurde am 20. März gefixt. Der Redmonder Konzern teilte überdies mit, dass man zusätzliche Schritte unternommen hat, damit sich dieses Problem nicht wiederholen kann.

Zusammenfassung
  • Microsofts Bing hatte Lücke für Zugriff auf private Informationen.
  • Fehlkonfiguration in Azure Active Directory.
  • Mehr als 1000 Apps betroffen.
  • Zugriff auf Office 365 etc. möglich.
  • Lücke geschlossen, Schritte unternommen.
Verwandte Themen
Bing
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture