Bei Microsoft gab es gleich mehrere Schwachstellen, die es einem Angreifer bei geschickter Kombination ermöglichten, ein beliebiges Microsoft Outlook-, Microsoft Store- oder Microsoft Sway-Konto zu übernehmen. Es reichte, wenn das Opfer auf einen Link klickt. Die Schwachstellen betrafen potentiell 400 Millionen Nutzer. Seit November 2018 sind die Schwachstellen beseitigt.
Anzeige
Die Information ist mir per Mail von Aviva Zacks zugegangen. Aviva Zacks hat das Thema im SafetyDetective-Blog im Artikel Microsoft Account Takeover Vulnerability Affecting 400 Million Users dokumentiert.
Sicherheitsuntersuchung offenbart kritische Schwachstellen
Aviva Zacks schreibt, dass man in einer ersten Sicherheitsuntersuchung, bei der Sicherheitsforscher nach kritischen Schwachstellen in Microsoft-Konten fahndeten, fündig wurde. Man hatte den externen Sicherheitsforscher Sahad Nk mit dieser Aufgabe beauftragt. Dieser Bug-Bounty-Jäger und Sicherheitsforscher arbeitete mit SafetyDetective zusammen. Der Sicherheitsforscher stieß gleich auf mehrere Schwachstellen, die es einem Angreifer bei geschickter Verknüpfung ermöglichen, ein beliebiges Microsoft Outlook-, Microsoft Store- oder Microsoft Sway-Konto zu übernehmen. Es reicht, dass das Opfer auf einen Link klickt.
Unmittelbar nach dem Auffinden dieser Schwachstellen haben sich die Leute von SafetyDetective per Offenlegungsprogramm für Schwachstellen an Microsoft gewandt und mit dem Unternehmen kooperiert. Die Schwachstellen wurden im Juni an Microsoft gemeldet und Ende November 2018 behoben. Obwohl der Schwachstellennachweis nur für Microsoft Outlook und Microsoft Sway erstellt wurde, gehen die Sicherheitsforscher davon aus, dass er alle Microsoft-Konten einschließlich des Microsoft Store betroffen waren.
Bug #1: Subdomain Takeover (success.office[.]com)
Die Subdomain success[.]office[.]com verwies mit seinem CNAME-Eintrag auf einen Microsoft Azure Web App-Service. Während eines einfachen Host-Checks stellten die Sicherheitsforscher fest, dass die Anwendung nicht mehr verfügbar war. Daher konnten sie die Subdomain übernehmen, indem sie eine Azure-Webanwendung mit dem Namen successcenter-msprod registrierten.
Bug #2: Unsachgemäße OAuth-Prüfung
Der zweite Fehler besteht aus einer unsachgemäßen OAuth-Prüfung. Denn Konten für Microsoft Outlook, den Store und Sway ermöglichen es, nach einer erfolgreichen Authentifizierung im zentralen Anmeldesystem von login[.]live[.]com die URL https[://]success[.]office[.]com als gültige "wreply"-URL zu verwenden und das Anmelde-Token zu verwenden. Es wird vermutet dass dies durch eine *.office.com Wildcard-Prüfung passiert, die es erlaubt, allen Subdomains zu vertrauen.
Selbst wenn der Authentifizierungsinitiator outlook.com oder sway.com ist, erlaubt login.live.com die Angabe https[://]success.office[.]com als gültige Umleitungs-URL und sendet die Login-Token an diese Domäne. Genau diese Domain war aber unter Kontrolle der Sicherheitsforscher. Dies führte zu einem Token-Leck auf dem Server der Sicherheitsforscher.
Die Sicherheitsforscher konnten das Token gegen ein Session-Token tauschen und sich mit dem Token des Opfers an dessen Konto anmelden, ohne einen Benutzernamen/Passwort zu kennen. Dies ermöglicht es, alle OAuth zu umgehen und einen gültigen Token zu erhalten. Dazu reichte es, wenn ein Opfer auf einen Link klickte, dann konnten die Sicherheitsforscher das Konto übernehmen.
Anzeige
Anmerkung: Ich finde leider die Fundstelle nicht mehr. Aber im Hinterkopf habe ich die Information, dass verwaiste Azure-Subdomains schon in anderem Zusammenhang als Sicherheitsrisiko gesehen wurden.
2015
