Microsoft schließt Lücke im Anmeldeprozess seiner Online-Dienste

AuthentifizierungSicherheit
Passwort (Bild: Shutterstock)

Mittels Cross-Site-Request-Forgery ließen sich Log-in-Token stehlen. Die Möglichkeit wurde von einem britischen Sicherheitsforscher entdeckt. Ihm zufolge wurde die Lücke binnen 48 Stunden geschlossen.

Microsoft hat eine Sicherheitslücke im Anmeldeprozess einiger seiner Online-Dienste geschlossen. Sie ermöglichte es Unbefugten, in den Besitz von Log-in-Token zu gelangen und sie zu benutzen, um sich Zugang zu Microsoft-Konten zu verschaffen. Die Schwachstelle wurde vom britischen Sicherheitsforscher Jack Whitton entdeckt und von Microsoft binnen 48 Stunden behoben, nachdem sie gemeldet worden war.

Microsoft hat eine vom britischen Sicherheitsforscher Jack Whitton entdeckte Lücke im Anmeldeprozess seiner Online-Dienste geschlossen (Bild: Microsoft)

Whitton zufolge erfolgt die Anmeldung für einen Microsoft-Dienst wie Outlook.com über ein Log-in-Token, falls der Nutzer schon bei einem anderen Dienst – etwa OneDrive.com – angemeldet ist. Diese Tokens konnte er jedoch über Phishing-Websites ausspähen. Anschließend hatte er vollständigen Zugriff auf das Konto des Nutzers.

Bei der Anmeldung für einen Microsoft-Dienst wird über den Wert „reply“ zusammen mit dem Log-in-Token eine POST-Anfrage an die jeweilige Domain des Diensts geschickt,. Der Token wird dann vom Anmeldeprozess verarbeitet. Da Microsoft seine Services auf unterschiedlichen Domains hostet, werden keine Cookies verwendet. Angreifer benötigen zwar für jede Domain einen Token, mittels mehrerer versteckter iFrames sei es Whitton zufolge aber möglich, auch Token für unterschiedliche Dienste abzufangen.

Der nun von Microsoft behobene Fehler war laut Whitton, dass es möglich war, eine beliebige URL für die Authentifizierung anzugeben, also einen sogenannten Cross-Site-Request-Forgery-Angriff (CSRF) durchzuführen. Der Sicherheitsforscher hatte Microsoft über seine Entdeckung am 24. Januar informierte. Das Unternehmen bestätigte ihm gegenüber den Fehler noch am selben Tag und stellte einen Patch am darauffolgenden Dienstag zur Verfügung. Whitton wandet wich mit seiner Entdeckung erst jetzt in einem Blogeintrag an die Öffentlichkeit.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp der Redaktion: Fast schon regelmäßig verschaffen sich Hacker Millionen Nutzerdaten von Online-Diensten Das können Sie alleine nicht verhindern. Doch mit unseren Tipps für eine sichere Passwort-Strategie müssen Sie sich weniger Sorgen um Ihre virtuellen Identitäten machen.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen