Abo
  • IT-Karriere:

Security: Microsoft zahlt 24.000 US-Dollar für Outlook.com-Lücke

Eine Sicherheitslücke in der OAuth-Implementation ermöglichte einem Angreifer, E-Mail-Accounts zu übernehmen. Microsoft hat die Sicherheitslücke geschlossen und ein Bug-Bounty ausgezahlt.

Artikel veröffentlicht am ,
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts
Ein Screenshot des von Wineberg programmierten Proof-of-Concepts (Bild: Wesley Wineberg)

Microsoft hat dem Sicherheitsforscher Wesley Wineberg 24.000 US-Dollar für die Entdeckung einer Sicherheitslücke im Authentifizierungsmechanismus login.live.com gezahlt. Wineberg beschreibt in einem Blogpost einen Cross-Site-Request-Forgery-Angriff (CSRF), um mittels eines OAuth-Tokens Zugriff auf die Mails der Nutzer zu bekommen.

Stellenmarkt
  1. BWI GmbH, Meckenheim
  2. Securiton GmbH Alarm- und Sicherheitssysteme, Achern

Login.live.com wird als zentrales Portal zum Einloggen in alle Onlinedienste von Microsoft genutzt. Die üblichen Verfahren waren nach Angaben von Wineberg gut gesichert, so dass er im alternativen OAuth-Login-Verfahren nach Schwachstellen suchte.

OAuth ist ein offener Standard, mit dem sich Webnutzer mit Hilfe bestehender Accounts bei anderen Webseiten einloggen können. Unterstützt wird der Standard unter anderem von Microsoft, Google, Facebook und Twitter. Um den Nutzer gegenüber der Webseite zu authentifizieren, überträgt OAuth ein Identifizierungs-Token. Nutzer müssen den Zugriff der Applikation dann mit einem Klick bestätigen.

Erfolgreicher Exploit setzt Nutzer-Login voraus

Wineberg gelang es, eine gefälschte App zu entwickeln, die die OAuth-Prozedur umgeht. Dazu nutzte er eine CSRF-Schwäche, die er mit Hilfe eines Canary-Tokens entdeckt hatte. Mit einem von ihm entwickelten Proof-of-Concept gelang ihm der Nachweis der Sicherheitslücke. Die einzigen Voraussetzungen für einen erfolgreichen Exploit sind seinen Angaben zufolge, dass der Nutzer eingeloggt ist, ein gültiger Session-Token im Cookie vorhanden ist und der Nutzer eine manipulierte Webseite aufruft.

Mit dem Angriff soll es möglich gewesen sein, dauerhaften Zugriff auf E-Mails und das Adressbuch zu erhalten. Wineberg meldete die Sicherheitslücke ausweislich seines Blogposts zwei Tage nach der Entdeckung am 25. August 2015 an Microsoft. Microsoft patchte die Lücke demnach am 15. September und zahlte dem Sicherheitsforscher für die Entdeckung der Lücke einen Bug-Bounty von 24.000 US-Dollar.

Zu den Kommentaren springen
Meistgelesen
  1. Probefahrt mit Maxus EV80
    Der chinesische E-Transporter zum Kampfpreis
  2. Gartner
    In Europa wächst der PC-Markt, im Rest der Welt nicht
  3. Raspberry Pi 4
    "Der Pi 4 verlangt eigentlich nach einem Lüfter"
  4. Quartalsbericht
    Microsofts Cloud-Geschäft steigert Rekordumsatz
  5. Nach Unfall
    Wiener Verkehrsbetrieb stoppt autonome Busse
Anzeige
Top-Angebote
  1. 79,00€
  2. 999,00€ + Versand
  3. (u. a. GTA 5 12,49€, GTA Online Cash Card 1,79€)
  4. (aktuell u. a. Dell-Notebook 519€, Dell USB-DVD-Brenner 34,99€)
Kommentarübersicht
Re: Lächerliche Aktion
3dfx 10. Okt 2015

Aluhut levitiert und glüht! Ich glaube nicht, dass die NSA bei solch Lücken ansetzt, die...

Re: Exotische Lücke
ha00x7 09. Okt 2015

Zwei Monate? Wo machst du denn Urlaub? Oo

Folgen Sie uns
       
AMD Ryzen 9 3900X und Ryzen 7 3700X - Test

Wir testen den Ryzen 9 3900X mit zwölf Kernen und den Ryzen 7 3700X mit acht Kernen. Beide passen in den Sockel AM4, nutzen DDR4-3200-Speicher und basieren auf der Zen-2-Architektur mit 7-nm-Fertigung.

AMD Ryzen 9 3900X und Ryzen 7 3700X - Test Video aufrufen
Beamer
Projektorkauf: Lumen, ANSI und mehr
Projektorkauf
Lumen, ANSI und mehr

Gerade bei Projektoren werden auf Plattformen verschiedener Onlinehändler kuriose Angaben zur Helligkeit beziehungsweise Leuchtstärke gemacht - sofern diese überhaupt angegeben werden. Wir bringen etwas Licht ins Dunkel und beschäftigen uns mit Einheiten rund um das Thema Helligkeit.
Von Mike Wobker

    AMD Navi
    Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
    Radeon RX 5700 (XT) im Test
    AMDs günstige Navi-Karten sind auch super

    Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
    Ein Test von Marc Sauter

    1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
    2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
    3. AMD Freier Navi-Treiber in Mesa eingepflegt
    Ricoh
    Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
    Ricoh GR III im Test
    Kompaktkamera mit Riesensensor, aber ohne Zoom

    Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
    Ein Test von Andreas Donath

    1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
    2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /