Abo
  • Services:
Anzeige
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Security: Microsoft zahlt 24.000 US-Dollar für Outlook.com-Lücke

Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Eine Sicherheitslücke in der OAuth-Implementation ermöglichte einem Angreifer, E-Mail-Accounts zu übernehmen. Microsoft hat die Sicherheitslücke geschlossen und ein Bug-Bounty ausgezahlt.

Anzeige

Microsoft hat dem Sicherheitsforscher Wesley Wineberg 24.000 US-Dollar für die Entdeckung einer Sicherheitslücke im Authentifizierungsmechanismus login.live.com gezahlt. Wineberg beschreibt in einem Blogpost einen Cross-Site-Request-Forgery-Angriff (CSRF), um mittels eines OAuth-Tokens Zugriff auf die Mails der Nutzer zu bekommen.

Login.live.com wird als zentrales Portal zum Einloggen in alle Onlinedienste von Microsoft genutzt. Die üblichen Verfahren waren nach Angaben von Wineberg gut gesichert, so dass er im alternativen OAuth-Login-Verfahren nach Schwachstellen suchte.

OAuth ist ein offener Standard, mit dem sich Webnutzer mit Hilfe bestehender Accounts bei anderen Webseiten einloggen können. Unterstützt wird der Standard unter anderem von Microsoft, Google, Facebook und Twitter. Um den Nutzer gegenüber der Webseite zu authentifizieren, überträgt OAuth ein Identifizierungs-Token. Nutzer müssen den Zugriff der Applikation dann mit einem Klick bestätigen.

Erfolgreicher Exploit setzt Nutzer-Login voraus

Wineberg gelang es, eine gefälschte App zu entwickeln, die die OAuth-Prozedur umgeht. Dazu nutzte er eine CSRF-Schwäche, die er mit Hilfe eines Canary-Tokens entdeckt hatte. Mit einem von ihm entwickelten Proof-of-Concept gelang ihm der Nachweis der Sicherheitslücke. Die einzigen Voraussetzungen für einen erfolgreichen Exploit sind seinen Angaben zufolge, dass der Nutzer eingeloggt ist, ein gültiger Session-Token im Cookie vorhanden ist und der Nutzer eine manipulierte Webseite aufruft.

Mit dem Angriff soll es möglich gewesen sein, dauerhaften Zugriff auf E-Mails und das Adressbuch zu erhalten. Wineberg meldete die Sicherheitslücke ausweislich seines Blogposts zwei Tage nach der Entdeckung am 25. August 2015 an Microsoft. Microsoft patchte die Lücke demnach am 15. September und zahlte dem Sicherheitsforscher für die Entdeckung der Lücke einen Bug-Bounty von 24.000 US-Dollar.


eye home zur Startseite
3dfx 10. Okt 2015

Aluhut levitiert und glüht! Ich glaube nicht, dass die NSA bei solch Lücken ansetzt, die...

ha00x7 09. Okt 2015

Zwei Monate? Wo machst du denn Urlaub? Oo



Anzeige

Stellenmarkt
  1. Württembergische Versicherung AG, Stuttgart
  2. über Hanseatisches Personalkontor Bodensee, Salem
  3. Robert Bosch GmbH, Schwieberdingen
  4. GILDEMEISTER Beteiligungen GmbH, Bielefeld


Anzeige
Spiele-Angebote
  1. 15,99€
  2. (-15%) 42,49€
  3. 10,99€

Folgen Sie uns
       


  1. Fraunhofer Fokus

    Metaminer soll datensammelnde Apps aufdecken

  2. Onlinehandel

    Bundesgerichtshof greift Paypal-Käuferschutz an

  3. Verbraucherschutz

    Sportuhr-Hersteller gehen unsportlich mit Daten um

  4. Core-i-Prozessoren

    Intel bestätigt gravierende Sicherheitsprobleme in ME

  5. Augmented Reality

    Apple kauft Vrvana für 30 Millionen US-Dollar

  6. Lootboxen

    "Battlefront 2 ist ein Star-Wars-Onlinecasino für Kids"

  7. Stadtnetzbetreiber

    Von 55 Tiefbauunternehmen hat keines geantwortet

  8. Steuerstreit

    Irland fordert Milliardenzahlung von Apple ein

  9. Zensur

    Skype ist in chinesischen Appstores blockiert

  10. Eizo Flexscan EV2785

    Neuer USB-C-Monitor mit 4K und mehr Watt für Notebooks



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. Astronomie Erster interstellarer Komet entdeckt
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

Smartphone-Kameras im Test: Die beste Kamera ist die, die man dabeihat
Smartphone-Kameras im Test
Die beste Kamera ist die, die man dabeihat
  1. Honor 7X Smartphone im 2:1-Format mit verbesserter Dual-Kamera
  2. Mini-Smartphone Jelly im Test Winzig, gewöhnungsbedürftig, nutzbar
  3. Leia RED verrät Details zum Holo-Display seines Smartphones

  1. Steht doch auf der Datenschutz-Seite von Apple...

    xeneo23 | 04:15

  2. kt

    xeneo23 | 04:14

  3. Re: Richtig so, FDP!

    teenriot* | 03:33

  4. Re: Jedes geschlossene System

    DAUVersteher | 03:22

  5. Re: "fehlenden Tiefbaukapazitäten *in Deutschland*"

    DAUVersteher | 02:52


  1. 17:45

  2. 17:20

  3. 17:06

  4. 16:21

  5. 15:51

  6. 15:29

  7. 14:59

  8. 14:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel