Abo
  • Services:

Security: Microsoft zahlt 24.000 US-Dollar für Outlook.com-Lücke

Eine Sicherheitslücke in der OAuth-Implementation ermöglichte einem Angreifer, E-Mail-Accounts zu übernehmen. Microsoft hat die Sicherheitslücke geschlossen und ein Bug-Bounty ausgezahlt.

Artikel veröffentlicht am ,
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Microsoft hat dem Sicherheitsforscher Wesley Wineberg 24.000 US-Dollar für die Entdeckung einer Sicherheitslücke im Authentifizierungsmechanismus login.live.com gezahlt. Wineberg beschreibt in einem Blogpost einen Cross-Site-Request-Forgery-Angriff (CSRF), um mittels eines OAuth-Tokens Zugriff auf die Mails der Nutzer zu bekommen.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Essen
  2. BWI GmbH, Bonn

Login.live.com wird als zentrales Portal zum Einloggen in alle Onlinedienste von Microsoft genutzt. Die üblichen Verfahren waren nach Angaben von Wineberg gut gesichert, so dass er im alternativen OAuth-Login-Verfahren nach Schwachstellen suchte.

OAuth ist ein offener Standard, mit dem sich Webnutzer mit Hilfe bestehender Accounts bei anderen Webseiten einloggen können. Unterstützt wird der Standard unter anderem von Microsoft, Google, Facebook und Twitter. Um den Nutzer gegenüber der Webseite zu authentifizieren, überträgt OAuth ein Identifizierungs-Token. Nutzer müssen den Zugriff der Applikation dann mit einem Klick bestätigen.

Erfolgreicher Exploit setzt Nutzer-Login voraus

Wineberg gelang es, eine gefälschte App zu entwickeln, die die OAuth-Prozedur umgeht. Dazu nutzte er eine CSRF-Schwäche, die er mit Hilfe eines Canary-Tokens entdeckt hatte. Mit einem von ihm entwickelten Proof-of-Concept gelang ihm der Nachweis der Sicherheitslücke. Die einzigen Voraussetzungen für einen erfolgreichen Exploit sind seinen Angaben zufolge, dass der Nutzer eingeloggt ist, ein gültiger Session-Token im Cookie vorhanden ist und der Nutzer eine manipulierte Webseite aufruft.

Mit dem Angriff soll es möglich gewesen sein, dauerhaften Zugriff auf E-Mails und das Adressbuch zu erhalten. Wineberg meldete die Sicherheitslücke ausweislich seines Blogposts zwei Tage nach der Entdeckung am 25. August 2015 an Microsoft. Microsoft patchte die Lücke demnach am 15. September und zahlte dem Sicherheitsforscher für die Entdeckung der Lücke einen Bug-Bounty von 24.000 US-Dollar.



Anzeige
Blu-ray-Angebote
  1. 34,99€

3dfx 10. Okt 2015

Aluhut levitiert und glüht! Ich glaube nicht, dass die NSA bei solch Lücken ansetzt, die...

ha00x7 09. Okt 2015

Zwei Monate? Wo machst du denn Urlaub? Oo


Folgen Sie uns
       


Lenovo Thinkpad T480s - Test

Wir halten das Thinkpad T480s für eines der besten Business-Notebooks am Markt: Der 14-Zöller ist kompakt und recht leicht und weist dennoch viele Anschlüsse auf, zudem sind Speicher, SSD, Wi-Fi und Modem aufrüstbar.

Lenovo Thinkpad T480s - Test Video aufrufen
Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhones sollen Stiftunterstützung erhalten
  3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

    •  /