Abo
  • Services:

Security: Microsoft zahlt 24.000 US-Dollar für Outlook.com-Lücke

Eine Sicherheitslücke in der OAuth-Implementation ermöglichte einem Angreifer, E-Mail-Accounts zu übernehmen. Microsoft hat die Sicherheitslücke geschlossen und ein Bug-Bounty ausgezahlt.

Artikel veröffentlicht am ,
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Microsoft hat dem Sicherheitsforscher Wesley Wineberg 24.000 US-Dollar für die Entdeckung einer Sicherheitslücke im Authentifizierungsmechanismus login.live.com gezahlt. Wineberg beschreibt in einem Blogpost einen Cross-Site-Request-Forgery-Angriff (CSRF), um mittels eines OAuth-Tokens Zugriff auf die Mails der Nutzer zu bekommen.

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Sindelfingen
  2. TUI Deutschland GmbH, deutschlandweit

Login.live.com wird als zentrales Portal zum Einloggen in alle Onlinedienste von Microsoft genutzt. Die üblichen Verfahren waren nach Angaben von Wineberg gut gesichert, so dass er im alternativen OAuth-Login-Verfahren nach Schwachstellen suchte.

OAuth ist ein offener Standard, mit dem sich Webnutzer mit Hilfe bestehender Accounts bei anderen Webseiten einloggen können. Unterstützt wird der Standard unter anderem von Microsoft, Google, Facebook und Twitter. Um den Nutzer gegenüber der Webseite zu authentifizieren, überträgt OAuth ein Identifizierungs-Token. Nutzer müssen den Zugriff der Applikation dann mit einem Klick bestätigen.

Erfolgreicher Exploit setzt Nutzer-Login voraus

Wineberg gelang es, eine gefälschte App zu entwickeln, die die OAuth-Prozedur umgeht. Dazu nutzte er eine CSRF-Schwäche, die er mit Hilfe eines Canary-Tokens entdeckt hatte. Mit einem von ihm entwickelten Proof-of-Concept gelang ihm der Nachweis der Sicherheitslücke. Die einzigen Voraussetzungen für einen erfolgreichen Exploit sind seinen Angaben zufolge, dass der Nutzer eingeloggt ist, ein gültiger Session-Token im Cookie vorhanden ist und der Nutzer eine manipulierte Webseite aufruft.

Mit dem Angriff soll es möglich gewesen sein, dauerhaften Zugriff auf E-Mails und das Adressbuch zu erhalten. Wineberg meldete die Sicherheitslücke ausweislich seines Blogposts zwei Tage nach der Entdeckung am 25. August 2015 an Microsoft. Microsoft patchte die Lücke demnach am 15. September und zahlte dem Sicherheitsforscher für die Entdeckung der Lücke einen Bug-Bounty von 24.000 US-Dollar.

Themenseiten:

Meistgelesen
  1. Funkloch-Report
    Was Betreiber und Politik gegen Mobilfunk-Lücken tun wollen
  2. Quartalsbericht
    Amazon kann den Gewinn mehr als verdoppeln
  3. Quartalsbericht
    Microsoft macht 7,4 Milliarden US-Dollar Gewinn
  4. Jugendschutz
    Warum kaum noch Games auf dem Index landen
  5. Kommunikationspflicht
    Gericht kritisiert "Ersatzgesetzgeber" Google
Anzeige
Hardware-Angebote
  1. für 147,99€ statt 259,94€
  2. und Far Cry 5 gratis erhalten
  3. bei Caseking kaufen
  4. bei Alternate kaufen
Kommentarübersicht
Re: Lächerliche Aktion
3dfx 10. Okt 2015

Aluhut levitiert und glüht! Ich glaube nicht, dass die NSA bei solch Lücken ansetzt, die...

Re: Exotische Lücke
ha00x7 09. Okt 2015

Zwei Monate? Wo machst du denn Urlaub? Oo

Folgen Sie uns
       
LG Display CSO light angesehen (Light Building 2018)

Auf der Light + Building 2018 zeigt LG Display Licht, das auch Ton produziert.

LG Display CSO light angesehen (Light Building 2018) Video aufrufen
Kühlung
Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter

    Quo Vadis
    Blue Byte: Auf dem Weg in schöner generierte Welten
    Blue Byte
    Auf dem Weg in schöner generierte Welten

    Quo Vadis Gemeinsam mit der Universität Köln arbeitet Ubisoft Blue Byte an neuen Technologien für prozedural generierte Welten. Producer Marc Braun hat einige der neuen Ansätze vorgestellt.

    1. Influencer Fortnite schlägt Minecraft
    2. Politik in Games Zwischen Völkerfreundschaft und Präsidentenprügel
    3. Förderung Spielebranche will 50 Millionen Euro vom Steuerzahler
    God of War
    God of War im Test: Der Super Nanny
    God of War im Test
    Der Super Nanny

    Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
    Von Peter Steinlechner

    1. God of War Papa Kratos kämpft ab April 2018
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /