r   e   k   l   a   m   a
r   e   k   l   a   m   a

Dane firm w Office 365 na wyciągnięcie ręki. Superszybka reakcja Microsoftu

Strona główna AktualnościBEZPIECZEŃSTWO

Microsoft nie był do tej pory specjalnie znany ze zwinności w naprawianiu błędów w swoim oprogramowaniu, bywało, że zajmowało to firmie z Redmond długie miesiące. Tym razem jednak trwało to zdecydowanie krócej. Bardzo groźna luka w zabezpieczeniach chmury Office 365, która pozwalała ominąć etap uwierzytelnienia przy próbie dostępu do konta, została usunięta niemal w mgnieniu oka.

Protokół uwierzytelniania SAML ma rozwiązać problem wielokrotnego logowania do stron WWW, jako standard wymiany danych uwierzytelniania i autoryzacji pomiędzy witrynami. Znalazł swoje zastosowanie w większości implementacji mechanizmów logowania typu Single Sign On (SSO), w tym implementacji wykorzystywanej w chmurze Office 365.

W sytuacji, gdy użytkownik miał konta skonfigurowane w powiązaniu z domeną lokalnej firmy, pozwalało to na natychmiastowy dostęp do Office 365 od razu po zalogowaniu do firmowego komputera, poprzez Active Directory Federation Services. Z tak sfederowanych domen korzystały dziesiątki największych organizacji, w tym sam Microsoft – ale też Cisco, IBM, Intel, Verizon, Scania, Toyota, a nawet Międzynarodowy Fundusz Walutowy.

r   e   k   l   a   m   a

Manipulując parametrami przekazywanymi do dostawcy tożsamości, posiadacz nawet testowego abonamentu na Office 365 mógł zalogować się do nieswoich zasobów, zyskując w ten sposób dostęp do wszystkich danych ofiary, włącznie z pocztą i plikami przechowywanymi na OneDrive.

Do odkrycia tej luki doszło w grudniu 2015 roku, jednak Klemen Bratec i Ioannis Kakavas, badacze ze Słowenii i Grecji, którym się to udało, sprawę do Microsoftu zgłosili dopiero 5 stycznia, po przeprowadzeniu dodatkowych badań. Jak piszą, po udanym ataku nastąpił moment ciszy – nie wiedzieli, czy cieszyć się z odkrycia, czy być przerażonymi jego implikacjami.

Szersze grono dowiedziało się o sprawie dopiero teraz, gdy firma z Redmond ujawniła problem w ramach swojego programu polowania na bugi w usługach online. Szczególnie godne jest podkreślenia, że od zgłoszenia luki do załatania problemu w oprogramowaniu Office 365 minęło 7 godzin.

Niestety nie wiadomo, czy wcześniej o luce tej nie wiedzieli inni hakerzy. Każe to zastanowić się ponownie nad kwestią bezpieczeństwa danych w chmurze, które nie są szyfrowane lokalnie. Wystarczy jeden błąd w mechanizmie uwierzytelnienia, a i tak, nie dysponując nawet kluczem kryptograficznym, napastnik uzyska dostęp do danych ofiary.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.