Office 365: Fehler ermöglicht Diebstahl von Dokumenten
Die Sicherheitsfirma Adallom hat auf eine Sicherheitslücke beim Umgang von Office 365 mit Authentifizierungstoken hingewiesen. Demnach genügt es, Nutzer dazu zu bringen, auf einer bösartigen Website eine Office-Datei zu öffnen, um an deren Authentifizierungstoken zu gelangen. Mit ihm kann sich der Angreifer dann bei einem Sharepoint- oder einem anderen Microsoft-Office-Server als der bestohlene Anwender ausgeben und alle ihm zugänglichen Dokumente einsehen und entwenden.
Adallom kam durch eine verdächtige HTTP-Anfrage bei einem Kunden auf die Spur des Bugs. Sie ging von einer Word-Datei aus, die bei einem versteckten Dienst im Anonymisierungsnetzwerk TOR gehostet wurde. Eine Heuristik-Engine stuft sie als hochriskant ein. Die auf die Sicherheit von Software as a Service (SaaS) spezialisierte Firma meldete das Ergebnis ihrer Nachforschungen dazu am 29. Mai 2013 an das Microsoft Security Response Center (MSRC).
Microsoft hat dann am Dezember-Patchday einen Fix bereitgestellt. Adalloms Chief Software Architect Noam Liran erklärt jetzt, wie er die Schwachstelle entdeckt hat und wie Angriffe darüber möglich sind. Der Fehler betrifft eigentlich Office 365, aber durch die Integration mit dem Webdienst sind auch die Desktop-Versionen von Office 2013 betroffen. Neben Word sind auch PowerPoint, Excel, OneNote sowie SkyDrive Pro gefährdet.
Office 365 erfordert das Log-in des Nutzers. Beim Download eines Dokuments von einem Sharepoint-Server verifiziert es die Anmeldedaten des gegenwärtig angemeldeten Nutzers, indem es ein Authentifizierungstoken sendet. Das Token sollte eigentlich nur übertragen werden, wenn sich der Server auf der Domain Sharepoint.com befindet. Liran fand jedoch heraus, dass er über einen eigenen Server Antworten zurückgeben konnte, wie sie von einem Sharepoint-Server erwartet wurden – und der Computer des Anwenders übersandte daraufhin das Authentifizierungstoken.
“Jetzt kann mein bösartiger Webserver, der im Besitz des Authentifizierungstokens für Office 365 ist, einfach zur Sharepoint-Online-Site Ihrer Organisation gehen, alles herunterladen oder tun, was immer er will – und Sie werden nie davon erfahren”, schreibt der Sicherheitsexperte. “Sie werden tatsächlich nicht einmal mitbekommen, dass Sie angegriffen wurden! Es ist das perfekte Verbrechen.”
Mit einem Video illustriert Adallom den Ablauf eines solchen Angriffs. Microsoft beschreibt die als “wichtig” eingestufte Schwachstelle CVE-2013-5054 in seinem Sicherheitsbulletin MS13-104 und nennt auch Noam Liran namentlich als deren Entdecker.
[mit Material von Bernd Kling, ZDNet.de]