Lücke in Office 365 zeigt Probleme von Cloud Computing auf

CloudSicherheitSicherheitsmanagement
Office 365 (Bild: Microsoft)

Alan Byrne, Entdecker einer Cross-Site-Scripting-Lücke in Office 365, hat jetzt Details zu der Schwachstelle veröffentlicht. Über sie ließ sich JavaScript-Code einschleusen und ein neuer Administrator anlegen. Microsoft hat die Lücke, die grundsätzliche Fragen zur Sicherheit von Cloud Computing aufwirft, im Dezember geschlossen.

Cogmotive-Gründer Alan Byrne hat in seinem Blog und einem Video bei Youtube Details einer Schwachstelle in Office 365 veröffentlicht. Sie wurde von ihm am 16. Oktober vergangenen Jahres an Microsoft gemeldet und erlaubte es, per Cross-Site-Scripting Benutzerkonten zu manipulieren. Microsoft hat sie am 19. Dezember behoben.

Logo Office 365

“Das ist das perfekte Beispiel für einen einfachen Exploit, der einen Schaden von mehreren Milliarden Dollar verursachen kann”, schreibt Alan Byrne. “Während wir uns immer weiter in die Cloud hinein bewegen, müssen wir uns der möglichen Sicherheitsrisiken bewusst sein.”

Die Schwachstelle entstand ihm zufolge durch einen Fehler bei der Prüfung von Eingabefeldern. In der Vorsteinstellung von Office 365 seien Nutzer in der Lage, ihre Namen zu ändern. Der Inhalt dieser Felder sei nicht kontrolliert worden, daher ließ sich auch HTML-Code eingeben.

Byrne zeigt wie sich JavaScript-Code einschleusen lässt, der dann immer ausgeführt wird, wenn der Name eines bestimmten Nutzers angezeigt werden soll. Der Code nutze zwei iFrames, um einen neuen Nutzer mit Administratorrechten anzulegen, der dann den Namen des zuvor manipulierten Nutzers wieder zurücksetze.

Beim Hinzufügen des neuen Administrators schickt Office 365 diesem ein vorläufiges Passwort, mit dem er sich einloggen und dann die Kontrolle über die Office-365-Implementierung eines ganzen Unternehmens übernehmen kann. Laut Byrne kann ein Angreifer auf diese Art sogar den ursprünglichen Administrator aussperren.

Byrne wird von Microsoft als als Entdecker der Schwachstelle erwähnt. Er lobt den Konzern im Gegenzug für den Umgang mit seinem Fehlerbericht: “Microsoft hat mit dem schnellen Schließen der Lücke einen wirklich guten Job gemacht und mich während des gesamten Verfahrens auf dem Laufenden gehalten. Ich habe viele Horrorgeschichten von anderen Leuten gehört, die Fehler an andere Firmen gemeldet haben und keine Reaktion erhielten, weswegen sie keine andere Wahl hatten, als das Problem öffentlich zu machen, bevor ein Fix erhältlich war.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen