Abo
  • Services:
Anzeige
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Security: Microsoft zahlt 24.000 US-Dollar für Outlook.com-Lücke

Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Eine Sicherheitslücke in der OAuth-Implementation ermöglichte einem Angreifer, E-Mail-Accounts zu übernehmen. Microsoft hat die Sicherheitslücke geschlossen und ein Bug-Bounty ausgezahlt.

Anzeige

Microsoft hat dem Sicherheitsforscher Wesley Wineberg 24.000 US-Dollar für die Entdeckung einer Sicherheitslücke im Authentifizierungsmechanismus login.live.com gezahlt. Wineberg beschreibt in einem Blogpost einen Cross-Site-Request-Forgery-Angriff (CSRF), um mittels eines OAuth-Tokens Zugriff auf die Mails der Nutzer zu bekommen.

Login.live.com wird als zentrales Portal zum Einloggen in alle Onlinedienste von Microsoft genutzt. Die üblichen Verfahren waren nach Angaben von Wineberg gut gesichert, so dass er im alternativen OAuth-Login-Verfahren nach Schwachstellen suchte.

OAuth ist ein offener Standard, mit dem sich Webnutzer mit Hilfe bestehender Accounts bei anderen Webseiten einloggen können. Unterstützt wird der Standard unter anderem von Microsoft, Google, Facebook und Twitter. Um den Nutzer gegenüber der Webseite zu authentifizieren, überträgt OAuth ein Identifizierungs-Token. Nutzer müssen den Zugriff der Applikation dann mit einem Klick bestätigen.

Erfolgreicher Exploit setzt Nutzer-Login voraus

Wineberg gelang es, eine gefälschte App zu entwickeln, die die OAuth-Prozedur umgeht. Dazu nutzte er eine CSRF-Schwäche, die er mit Hilfe eines Canary-Tokens entdeckt hatte. Mit einem von ihm entwickelten Proof-of-Concept gelang ihm der Nachweis der Sicherheitslücke. Die einzigen Voraussetzungen für einen erfolgreichen Exploit sind seinen Angaben zufolge, dass der Nutzer eingeloggt ist, ein gültiger Session-Token im Cookie vorhanden ist und der Nutzer eine manipulierte Webseite aufruft.

Mit dem Angriff soll es möglich gewesen sein, dauerhaften Zugriff auf E-Mails und das Adressbuch zu erhalten. Wineberg meldete die Sicherheitslücke ausweislich seines Blogposts zwei Tage nach der Entdeckung am 25. August 2015 an Microsoft. Microsoft patchte die Lücke demnach am 15. September und zahlte dem Sicherheitsforscher für die Entdeckung der Lücke einen Bug-Bounty von 24.000 US-Dollar.


eye home zur Startseite
3dfx 10. Okt 2015

Aluhut levitiert und glüht! Ich glaube nicht, dass die NSA bei solch Lücken ansetzt, die...

ha00x7 09. Okt 2015

Zwei Monate? Wo machst du denn Urlaub? Oo



Anzeige

Stellenmarkt
  1. Diehl Metering GmbH, Nürnberg
  2. Deutsche Bundesbank, München
  3. ARRI Media GmbH, Ismaning
  4. Robert Bosch GmbH, Stuttgart-Vaihingen


Anzeige
Spiele-Angebote
  1. 21,99€
  2. (-50%) 19,99€
  3. 5,99€

Folgen Sie uns
       


  1. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  2. Squad

    Valve heuert Entwickler des Kerbal Space Program an

  3. James Gosling

    Java-Erfinder wechselt zu Amazon Web Services

  4. Calliope Mini im Test

    Neuland lernt programmieren

  5. Fernwartung

    Microsoft kämpft weiter gegen Support-Betrüger

  6. Streit beendet

    Nokia und Apple tauschen Patentstreit gegen Zusammenarbeit

  7. Voyager

    Facebook ist mit Glasfasertechnik schnell erfolgreich

  8. HP

    Im Envy 13 steckt eine Geforce MX150

  9. Quantencomputer

    Nano-Kühlung für Qubits

  10. Rockstar Games

    Red Dead Redemption 2 auf Frühjahr 2018 verschoben



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

  1. Re: Pay to Win?

    Muhaha | 12:50

  2. Re: Hatte auch so einen Anruf

    stulle | 12:48

  3. Re: Ist mir unbegreiflich

    quineloe | 12:48

  4. Re: Realitätsflucht

    quineloe | 12:46

  5. Für mich das bisher einzige sinnvolle Produkt von...

    Netzweltler | 12:45


  1. 12:58

  2. 12:47

  3. 12:30

  4. 12:00

  5. 11:51

  6. 11:41

  7. 11:26

  8. 11:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel