Abo
  • Services:
Anzeige
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Security: Microsoft zahlt 24.000 US-Dollar für Outlook.com-Lücke

Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Eine Sicherheitslücke in der OAuth-Implementation ermöglichte einem Angreifer, E-Mail-Accounts zu übernehmen. Microsoft hat die Sicherheitslücke geschlossen und ein Bug-Bounty ausgezahlt.

Anzeige

Microsoft hat dem Sicherheitsforscher Wesley Wineberg 24.000 US-Dollar für die Entdeckung einer Sicherheitslücke im Authentifizierungsmechanismus login.live.com gezahlt. Wineberg beschreibt in einem Blogpost einen Cross-Site-Request-Forgery-Angriff (CSRF), um mittels eines OAuth-Tokens Zugriff auf die Mails der Nutzer zu bekommen.

Login.live.com wird als zentrales Portal zum Einloggen in alle Onlinedienste von Microsoft genutzt. Die üblichen Verfahren waren nach Angaben von Wineberg gut gesichert, so dass er im alternativen OAuth-Login-Verfahren nach Schwachstellen suchte.

OAuth ist ein offener Standard, mit dem sich Webnutzer mit Hilfe bestehender Accounts bei anderen Webseiten einloggen können. Unterstützt wird der Standard unter anderem von Microsoft, Google, Facebook und Twitter. Um den Nutzer gegenüber der Webseite zu authentifizieren, überträgt OAuth ein Identifizierungs-Token. Nutzer müssen den Zugriff der Applikation dann mit einem Klick bestätigen.

Erfolgreicher Exploit setzt Nutzer-Login voraus

Wineberg gelang es, eine gefälschte App zu entwickeln, die die OAuth-Prozedur umgeht. Dazu nutzte er eine CSRF-Schwäche, die er mit Hilfe eines Canary-Tokens entdeckt hatte. Mit einem von ihm entwickelten Proof-of-Concept gelang ihm der Nachweis der Sicherheitslücke. Die einzigen Voraussetzungen für einen erfolgreichen Exploit sind seinen Angaben zufolge, dass der Nutzer eingeloggt ist, ein gültiger Session-Token im Cookie vorhanden ist und der Nutzer eine manipulierte Webseite aufruft.

Mit dem Angriff soll es möglich gewesen sein, dauerhaften Zugriff auf E-Mails und das Adressbuch zu erhalten. Wineberg meldete die Sicherheitslücke ausweislich seines Blogposts zwei Tage nach der Entdeckung am 25. August 2015 an Microsoft. Microsoft patchte die Lücke demnach am 15. September und zahlte dem Sicherheitsforscher für die Entdeckung der Lücke einen Bug-Bounty von 24.000 US-Dollar.


eye home zur Startseite
3dfx 10. Okt 2015

Aluhut levitiert und glüht! Ich glaube nicht, dass die NSA bei solch Lücken ansetzt, die...

ha00x7 09. Okt 2015

Zwei Monate? Wo machst du denn Urlaub? Oo



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München
  2. Debeka-Gruppe, Koblenz
  3. Dataport, Altenholz, Kiel
  4. T-Systems International GmbH, Bonn, Darmstadt, Frankfurt am Main, Göppingen


Anzeige
Top-Angebote
  1. 19,99€ inkl. Versand
  2. 19,99€ inkl. Versand
  3. bei Bezahlung per Paydirekt - 50€ Mindestbestellwert

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. FTTH

    M-net-Glasfaserkunden nutzen 120 GByte pro Monat

  2. Smartphone

    Google behebt Bluetooth-Problem beim Pixel

  3. 1.500 ppi

    Samsung soll Headset mit dreifacher Rift-Pixeldichte planen

  4. Hollywood

    Filmstudios wollen Filme kurz nach Kinostart streamen

  5. Chrome

    Google plant drastische Maßnahmen gegen Symantec

  6. Android O im Test

    Oreo, Ovomaltine, Orange

  7. Hannover

    Pavillons für die Sommer-Cebit sind schon ausgebucht

  8. Corsair One Pro

    Doppelt wassergekühlter SFF-Rechner kostet 2.500 Euro

  9. Datenschutz

    US-Provider dürfen private Nutzerdaten ungefragt verkaufen

  10. DVB-T2

    Freenet TV gibt es auch als monatliches Abo



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Videostreaming im Zug: Maxdome umwirbt Bahnfahrer bei Tempo 230
Videostreaming im Zug
Maxdome umwirbt Bahnfahrer bei Tempo 230
  1. USA Google will Kabelfernsehen über Youtube streamen
  2. Verband DVD-Verleih in Deutschland geht wegen Netflix zurück
  3. Nintendo Vorerst keine Videostreaming-Apps auf Switch

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  2. Instandsetzung Apple macht iPhone-Reparaturen teurer
  3. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer

D-Wave: Quantencomputer oder Computer mit Quanteneffekten?
D-Wave
Quantencomputer oder Computer mit Quanteneffekten?
  1. IBM Q Qubits as a Service
  2. Rechentechnik Ein Bauplan für einen Quantencomputer

  1. Re: Also ich zahle ja...

    deprssivum | 14:54

  2. Re: DVBT2 DOA

    howe | 14:54

  3. Re: Hoffentlich....

    david_rieger | 14:54

  4. Re: Ernsthafte frage: Wo gab es das schon bei...

    No name089 | 14:54

  5. Re: Richtig so

    jeegeek | 14:53


  1. 14:56

  2. 14:24

  3. 14:09

  4. 12:47

  5. 12:30

  6. 11:58

  7. 11:46

  8. 11:36


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel