Azure-Lücke erlaubte Datenklau bei Millionen Office365-Kunden

Durch eine Fehlkonfiguration ließ sich Schadcode in Bing-Suchergebnisse einschleusen, womit Daten von Office365-Nutzern gefährdet waren. Microsoft hat reagiert.

In Pocket speichern vorlesen Druckansicht 77 Kommentare lesen
Azure Modular Datacenter

Ein mobiles "Azure Modular Datacenter" von Microsoft.

(Bild: dpa, Microsoft/dpa)

Lesezeit: 3 Min.

Über manipulierte Suchergebnisse in Microsofts Suchmaschine Bing konnte ein Sicherheitsforscher eigene Ergebnisse ganz oben in der Liste platzieren und mit Schadcode versehen. Der hätte dann zum Beispiel Zugangscookies von angemeldeten Office365-Kunden stehlen können.

Microsoft bietet das Azure Active Directory als Cloud-Dienst für Kunden an, nutzt das System jedoch auch für interne Dienste zum Identitätsmanagement. Der Forscher erlangte mit seinem Azure-AD-Nutzer durch eine Fehlkonfiguration Zugriff auf interne Administrationswerkzeuge für die Bing-Suchmaschine und konnte dort dann weitgehend frei schalten und walten.

Das Azure Active Directory soll die Welt eigentlich sicherer machen: Authentifizierung von Nutzern ohne Programmieraufwand und Single-Sign-On sind Verlockungen, mit denen Microsoft Administratoren und Entwickler in seine Cloud holt. Zudem erlaubt das AAD, beliebige Nutzer außerhalb der eigenen Organisation zu authentifizieren, was für Betreiber öffentlicher Webapplikationen viele Vorteile bringt. Aktivieren Cloud-Admins jedoch diese "multi tenancy", öffnen sie Angreifern unter Umständen Tür und Tor.

In diese Falle ist Microsoft nun selber getappt. Die Sicherheitsfirma Wiz fand im Januar dieses Jahres bei einem Scan auf angreifbare Azure-Apps eine Subdomain namens "bingtrivia.azurewebsites.net", die ihren Argwohn erregte. Ein AD-Login mit ihren eigenen Zugangsdaten gelang den Sicherheitsforschern auf Anhieb und sie bekamen Zugriff auf ein Microsoft-internes Content Management System. Dieses System erlaubte weitgehende Änderungen, die direkt live auf bing.com und in den Suchergebnissen publiziert wurden. So konnten die Wiz-Mitarbeiter nicht nur das Hintergrundbild der Bing-Startseite austauschen, sondern auch Suchergebnisse verändern.

Über diese Sicherheitslücke gelang es, eigenen JavaScript-Code in die populäre Suchmaschine einzuschleusen, der dann im Browser der Nutzer mit deren Privilegien ausgeführt wurde. Über ein Office365-API konnten Hillai Ben-Sasson und sein Team dann Zugriffstokens der webbasierten Office-Suite abgreifen und hätten im großen Stil E-Mails, Kalendereinträge, Teams-Nachrichten und Dokumente aus Sharepoint und OneDrive stehlen können.

Angesichts der Tragweite ihrer Entdeckung – Bing verzeichnet immerhin über eine Milliarde Seitenabrufe pro Monat – meldeten die Entdecker sich beim Microsoft Security Response Center (MSRC), das noch am selben Tag einen Hotfix einspielte. Die Sicherheitsforscher erhielten eine Bug Bounty von 40.000 US-Dollar, die sie nach eigener Aussage spenden werden.

Wer selbst Azure AD einsetzt, sollte den ausführlichen Blogartikel der Entdecker lesen, in dem sie auch darauf eingehen, wie man die eigene Umgebung absichert. Im Rahmen der heise Security Tour 2023 bietet heise Security auch einen ganztägigen Workshop zu "Angriffe auf und Absicherung von Azure und Azure Active Directory".

(ju)