Dane firm w Office 365 na wyciągnięcie ręki. Superszybka reakcja Microsoftu
Microsoft nie był do tej pory specjalnie znany ze zwinności wnaprawianiu błędów w swoim oprogramowaniu, bywało, że zajmowałoto firmie z Redmond długie miesiące. Tym razem jednak trwało tozdecydowanie krócej. Bardzo groźna luka w zabezpieczeniach chmuryOffice 365, która pozwalała ominąć etap uwierzytelnienia przypróbie dostępu do konta, została usunięta niemal w mgnieniu oka.
Protokół uwierzytelniania SAML ma rozwiązać problemwielokrotnego logowania do stron WWW, jako standard wymiany danychuwierzytelniania i autoryzacji pomiędzy witrynami. Znalazł swojezastosowanie w większości implementacji mechanizmów logowania typuSingle Sign On (SSO), w tym implementacji wykorzystywanej w chmurzeOffice 365.
W sytuacji, gdy użytkownik miał konta skonfigurowane wpowiązaniu z domeną lokalnej firmy, pozwalało to na natychmiastowydostęp do Office 365 od razu po zalogowaniu do firmowego komputera,poprzez Active Directory Federation Services. Z tak sfederowanychdomen korzystały dziesiątki największych organizacji, w tym samMicrosoft – ale też Cisco, IBM, Intel, Verizon, Scania, Toyota, anawet Międzynarodowy Fundusz Walutowy.
Manipulując parametrami przekazywanymi do dostawcytożsamości, posiadacz nawet testowego abonamentu na Office 365mógł zalogować się do nieswoich zasobów, zyskując w ten sposóbdostęp do wszystkich danych ofiary, włącznie z pocztą i plikamiprzechowywanymi na OneDrive.
Do odkrycia tej luki doszło w grudniu 2015 roku, jednak KlemenBratec i Ioannis Kakavas, badacze ze Słowenii i Grecji, którym sięto udało, sprawę do Microsoftu zgłosili dopiero 5 stycznia, poprzeprowadzeniu dodatkowych badań. Jak piszą,po udanym ataku nastąpił moment ciszy – nie wiedzieli, czycieszyć się z odkrycia, czy być przerażonymi jego implikacjami.
Szersze grono dowiedziało się o sprawie dopiero teraz, gdy firmaz Redmond ujawniłaproblem w ramach swojego programu polowania na bugi w usługachonline. Szczególnie godne jest podkreślenia, że od zgłoszenialuki do załatania problemu w oprogramowaniu Office 365 minęło 7godzin.
Niestety nie wiadomo, czy wcześniej o luce tej nie wiedzieli innihakerzy. Każe to zastanowić się ponownie nad kwestiąbezpieczeństwa danych w chmurze, które nie są szyfrowane lokalnie.Wystarczy jeden błąd w mechanizmie uwierzytelnienia, a i tak, niedysponując nawet kluczem kryptograficznym, napastnik uzyska dostępdo danych ofiary.
