reklama

Dane firm w Office 365 na wyciągnięcie ręki. Superszybka reakcja Microsoftu

Strona główna Aktualności

O autorze

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Microsoft nie był do tej pory specjalnie znany ze zwinności w naprawianiu błędów w swoim oprogramowaniu, bywało, że zajmowało to firmie z Redmond długie miesiące. Tym razem jednak trwało to zdecydowanie krócej. Bardzo groźna luka w zabezpieczeniach chmury Office 365, która pozwalała ominąć etap uwierzytelnienia przy próbie dostępu do konta, została usunięta niemal w mgnieniu oka.

Protokół uwierzytelniania SAML ma rozwiązać problem wielokrotnego logowania do stron WWW, jako standard wymiany danych uwierzytelniania i autoryzacji pomiędzy witrynami. Znalazł swoje zastosowanie w większości implementacji mechanizmów logowania typu Single Sign On (SSO), w tym implementacji wykorzystywanej w chmurze Office 365.

W sytuacji, gdy użytkownik miał konta skonfigurowane w powiązaniu z domeną lokalnej firmy, pozwalało to na natychmiastowy dostęp do Office 365 od razu po zalogowaniu do firmowego komputera, poprzez Active Directory Federation Services. Z tak sfederowanych domen korzystały dziesiątki największych organizacji, w tym sam Microsoft – ale też Cisco, IBM, Intel, Verizon, Scania, Toyota, a nawet Międzynarodowy Fundusz Walutowy.

Manipulując parametrami przekazywanymi do dostawcy tożsamości, posiadacz nawet testowego abonamentu na Office 365 mógł zalogować się do nieswoich zasobów, zyskując w ten sposób dostęp do wszystkich danych ofiary, włącznie z pocztą i plikami przechowywanymi na OneDrive.

Do odkrycia tej luki doszło w grudniu 2015 roku, jednak Klemen Bratec i Ioannis Kakavas, badacze ze Słowenii i Grecji, którym się to udało, sprawę do Microsoftu zgłosili dopiero 5 stycznia, po przeprowadzeniu dodatkowych badań. Jak piszą, po udanym ataku nastąpił moment ciszy – nie wiedzieli, czy cieszyć się z odkrycia, czy być przerażonymi jego implikacjami.

Szersze grono dowiedziało się o sprawie dopiero teraz, gdy firma z Redmond ujawniła problem w ramach swojego programu polowania na bugi w usługach online. Szczególnie godne jest podkreślenia, że od zgłoszenia luki do załatania problemu w oprogramowaniu Office 365 minęło 7 godzin.

Niestety nie wiadomo, czy wcześniej o luce tej nie wiedzieli inni hakerzy. Każe to zastanowić się ponownie nad kwestią bezpieczeństwa danych w chmurze, które nie są szyfrowane lokalnie. Wystarczy jeden błąd w mechanizmie uwierzytelnienia, a i tak, nie dysponując nawet kluczem kryptograficznym, napastnik uzyska dostęp do danych ofiary.

© dobreprogramy
reklama

Komentarze

reklama