Przejdź na

Dane firm w Office 365 na wyciągnięcie ręki. Superszybka reakcja Microsoftu

Microsoft nie był do tej pory specjalnie znany ze zwinności wnaprawianiu błędów w swoim oprogramowaniu, bywało, że zajmowałoto firmie z Redmond długie miesiące. Tym razem jednak trwało tozdecydowanie krócej. Bardzo groźna luka w zabezpieczeniach chmuryOffice 365, która pozwalała ominąć etap uwierzytelnienia przypróbie dostępu do konta, została usunięta niemal w mgnieniu oka.

Obraz
Adam Golański

Protokół uwierzytelniania SAML ma rozwiązać problemwielokrotnego logowania do stron WWW, jako standard wymiany danychuwierzytelniania i autoryzacji pomiędzy witrynami. Znalazł swojezastosowanie w większości implementacji mechanizmów logowania typuSingle Sign On (SSO), w tym implementacji wykorzystywanej w chmurzeOffice 365.

W sytuacji, gdy użytkownik miał konta skonfigurowane wpowiązaniu z domeną lokalnej firmy, pozwalało to na natychmiastowydostęp do Office 365 od razu po zalogowaniu do firmowego komputera,poprzez Active Directory Federation Services. Z tak sfederowanychdomen korzystały dziesiątki największych organizacji, w tym samMicrosoft – ale też Cisco, IBM, Intel, Verizon, Scania, Toyota, anawet Międzynarodowy Fundusz Walutowy.

Manipulując parametrami przekazywanymi do dostawcytożsamości, posiadacz nawet testowego abonamentu na Office 365mógł zalogować się do nieswoich zasobów, zyskując w ten sposóbdostęp do wszystkich danych ofiary, włącznie z pocztą i plikamiprzechowywanymi na OneDrive.

Obraz

Do odkrycia tej luki doszło w grudniu 2015 roku, jednak KlemenBratec i Ioannis Kakavas, badacze ze Słowenii i Grecji, którym sięto udało, sprawę do Microsoftu zgłosili dopiero 5 stycznia, poprzeprowadzeniu dodatkowych badań. Jak piszą,po udanym ataku nastąpił moment ciszy – nie wiedzieli, czycieszyć się z odkrycia, czy być przerażonymi jego implikacjami.

Szersze grono dowiedziało się o sprawie dopiero teraz, gdy firmaz Redmond ujawniłaproblem w ramach swojego programu polowania na bugi w usługachonline. Szczególnie godne jest podkreślenia, że od zgłoszenialuki do załatania problemu w oprogramowaniu Office 365 minęło 7godzin.

Niestety nie wiadomo, czy wcześniej o luce tej nie wiedzieli innihakerzy. Każe to zastanowić się ponownie nad kwestiąbezpieczeństwa danych w chmurze, które nie są szyfrowane lokalnie.Wystarczy jeden błąd w mechanizmie uwierzytelnienia, a i tak, niedysponując nawet kluczem kryptograficznym, napastnik uzyska dostępdo danych ofiary.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ 👀