Noch eine kurze Information aus der Welt von Office 365. Das Produkt war durch eine Schwachstelle im Teams-Modul für Angriffe aus dem Netzwerk verwundbar. Angreifer konnten auf Dateien in OneDrive/SharePoint zugreifen.
Anzeige
Ich bin die Tage bereits auf Twitter auf diesen Sachverhalt aufmerksam geworden. In diesem Tweet weist Dirk-jan auf das Problem hin.
[Blog] Office 365 was vulnerable to network attacks due to a vulnerability in Microsoft Teams. Here's a demo of an attacker obtaining access to all emails and OneDrive/SharePoint files if the victim joins an attacker controlled network. Details: https://t.co/eU8u0alAhY pic.twitter.com/jqwcil2KwD
— Dirk-jan (@_dirkjan) October 14, 2019
Es gab wohl eine Schwachstellen in OAuth2 und der Benutzerauthentifizierung. Wenn eine Anwendung einen Benutzer authentifizieren und seine Office 365-Daten anfordern möchte, leitet sie den Benutzer an die zentrale Microsoft Online-Login-Seite weiter. In der URL enthalten sie die eindeutige Anwendungs-ID und eine URL, an die der Benutzer nach der Authentifizierung zurückverwiesen werden kann. Wenn der Benutzer authentifiziert wird, wird das Zugriffstoken, das von der Anwendung verwendet werden kann, um die Identität des Benutzers darzustellen, an diese URL angehängt und verwendet, um den Benutzer zurück zur Anwendung zu leiten.
Um zu verhindern, dass Angreifer Benutzer mit einer von ihnen kontrollierten Website auf die Anmeldeseite schicken, werden die zulässigen Redirect-URLs pro Anwendung auf eine Whitelist gesetzt. Diese Informationen werden auf dem Service Principal in Azure Active Directory (der Identitätskomponente von Office 365) gespeichert und können mit dem AzureAD PowerShell-Modul mithilfe des Cmdlets Get-AzureADServicePrincipal abgerufen werden.
Und dort gab es einen Bug, denn bei der Inspektion der Prizipals fiel auf, das Microsoft Teams Web Client einige seltsame Einträge aufwies. Unter anderem war eine Referenz auf dev.local eingetragen. Witzigerweise gab es jeweils einen Eintrag für https und für https in der White-List. Das bedeutet, dass Authentifizierungs-Tokens von Microsoft-Teams an gesendet werden können. Jeder, der die Kontrolle über diese Seite hat, kann diese Token zur Interaktion mit Office 365 verwenden.
Die Details hat Dirk-jan in diesem englischsprachigen Blog-Beitrag beschrieben. Dort demonstriert er auch mögliche Angriffsszenarien. Er hat das Problem im Juni 2019 an Microsoft gemeldet. Laut seiner Aussage wurde diese Schwachstelle im September 2019 geschlossen.
- Jeder Office 365-Tenant, der nach September 2019 angelegt wurde, hat diese Antwort-URLs nicht mehr in den Eigenschaften der Service Principal.
- Mandanten, die vor diesem Datum angelegt wurden, haben immer noch die verletzliche URL, die in der Antwort-URL angezeigt wird.
Administratoren im Office 365-Bereich sollten sich daher diesen englischsprachigen Blog-Beitrag durchlesen und prüfen, ob die Schwachstelle noch ausgenutzt werden kann.
2015
