Abo
  • Services:
Anzeige
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Security: Microsoft zahlt 24.000 US-Dollar für Outlook.com-Lücke

Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Eine Sicherheitslücke in der OAuth-Implementation ermöglichte einem Angreifer, E-Mail-Accounts zu übernehmen. Microsoft hat die Sicherheitslücke geschlossen und ein Bug-Bounty ausgezahlt.

Anzeige

Microsoft hat dem Sicherheitsforscher Wesley Wineberg 24.000 US-Dollar für die Entdeckung einer Sicherheitslücke im Authentifizierungsmechanismus login.live.com gezahlt. Wineberg beschreibt in einem Blogpost einen Cross-Site-Request-Forgery-Angriff (CSRF), um mittels eines OAuth-Tokens Zugriff auf die Mails der Nutzer zu bekommen.

Login.live.com wird als zentrales Portal zum Einloggen in alle Onlinedienste von Microsoft genutzt. Die üblichen Verfahren waren nach Angaben von Wineberg gut gesichert, so dass er im alternativen OAuth-Login-Verfahren nach Schwachstellen suchte.

OAuth ist ein offener Standard, mit dem sich Webnutzer mit Hilfe bestehender Accounts bei anderen Webseiten einloggen können. Unterstützt wird der Standard unter anderem von Microsoft, Google, Facebook und Twitter. Um den Nutzer gegenüber der Webseite zu authentifizieren, überträgt OAuth ein Identifizierungs-Token. Nutzer müssen den Zugriff der Applikation dann mit einem Klick bestätigen.

Erfolgreicher Exploit setzt Nutzer-Login voraus

Wineberg gelang es, eine gefälschte App zu entwickeln, die die OAuth-Prozedur umgeht. Dazu nutzte er eine CSRF-Schwäche, die er mit Hilfe eines Canary-Tokens entdeckt hatte. Mit einem von ihm entwickelten Proof-of-Concept gelang ihm der Nachweis der Sicherheitslücke. Die einzigen Voraussetzungen für einen erfolgreichen Exploit sind seinen Angaben zufolge, dass der Nutzer eingeloggt ist, ein gültiger Session-Token im Cookie vorhanden ist und der Nutzer eine manipulierte Webseite aufruft.

Mit dem Angriff soll es möglich gewesen sein, dauerhaften Zugriff auf E-Mails und das Adressbuch zu erhalten. Wineberg meldete die Sicherheitslücke ausweislich seines Blogposts zwei Tage nach der Entdeckung am 25. August 2015 an Microsoft. Microsoft patchte die Lücke demnach am 15. September und zahlte dem Sicherheitsforscher für die Entdeckung der Lücke einen Bug-Bounty von 24.000 US-Dollar.


eye home zur Startseite
3dfx 10. Okt 2015

Aluhut levitiert und glüht! Ich glaube nicht, dass die NSA bei solch Lücken ansetzt, die...

ha00x7 09. Okt 2015

Zwei Monate? Wo machst du denn Urlaub? Oo



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München, Leinfelden-Echterdingen
  2. thyssenkrupp AG, Essen
  3. Software AG, verschiedene Standorte
  4. über Ratbacher GmbH, Raum Bremen


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)

Folgen Sie uns
       


  1. Handheld

    New Nintendo 2D XL vorgestellt

  2. Apple

    Preiserhöhung für europäischen App Store verordnet

  3. Airbus A350-1000XWB

    Ein Blick ins Innere eines Testflugzeugs

  4. Amazon

    Echo-Lautsprecher mit Bildschirm soll im Mai kommen

  5. Tesla-Zukauf

    Firmengründer Grohmann ging offenbar im Streit

  6. Zahlungssystem

    Apple Pay soll Überweisungen zwischen Freunden ermöglichen

  7. Google

    Alphabet macht weit über 5 Milliarden Dollar Gewinn

  8. Quartalsbericht

    Microsofts Zukunft ist erfolgreich in die Cloud verschoben

  9. Quartalsbericht

    Amazon macht erneut riesigen Gewinn

  10. Datenschutzverordnung im Bundestag

    "Für uns ist jeden Tag der Tag der inneren Sicherheit"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto VW testet E-Trucks
  2. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro
  3. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren

Quantencomputer: Alleskönner mit Grenzen
Quantencomputer
Alleskönner mit Grenzen

  1. Vielleicht weil er viel Kohle bekommen hat?

    dabbes | 10:17

  2. Re: War überfällig

    lottikarotti | 10:16

  3. Klar, der war ein soooo toller Mensch

    dabbes | 10:16

  4. Re: Unattraktiv

    ffrhh | 10:15

  5. Re: Dann können sie ja jetzt faire...

    nightmar17 | 10:15


  1. 10:27

  2. 10:12

  3. 09:36

  4. 08:44

  5. 07:52

  6. 07:19

  7. 00:11

  8. 23:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel