-
02.04.2023, 13:28 #1
- Registriert seit
- 15.11.2011
- Beiträge
- 6.334
- Blog Entries
- 5
Thanked 9.166 Times in 3.036 PostsVollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle
In Azure Active Directory wurde eine Schwachstelle bekannt, die es in sich hat: Sie ermöglichte jedem Zugriff auf zahlreiche Administrationsoberflächen von internen Microsoft-Diensten, wie unter anderem Bing und MSN. Nicht nur diese Dienste waren dadurch manipulierbar: Durch eine Schwachstelle in der Bing Administrationsoberfläche und einer Integration von Office/Microsoft 365 konnte man Vollzugriff auf alle Microsoft 365 Daten von Bing-Nutzern erhalten. Darunter unter anderem Outlook Online, Teams, SharePoint, OneDrive. Wie die Schwachstelle funktioniert und warum Microsoft sehr viel Glück hatte, erfahrt ihr in diesem Beitrag.
Zur Textversion im U-Labs Portal
Zum Video auf YouTube
-
02.04.2023, 13:29 #2
- Registriert seit
- 30.09.2021
- Beiträge
- 1.625
Thanked 39 Times in 37 PostsAW: Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle
Echt oder April April?
Kommentar von C-onner.
-
02.04.2023, 13:30 #3
- Registriert seit
- 15.11.2011
- Beiträge
- 6.334
- Blog Entries
- 5
Thanked 9.166 Times in 3.036 PostsAW: Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle
Alles echt und ziemlich aktuell, wurde erst gegen Ende der Woche öffentlich bekannt. Die Primärquelle ist im Portal-Artikel verlinkt.
-
02.04.2023, 13:34 #4
- Registriert seit
- 30.09.2021
- Beiträge
- 1.625
Thanked 39 Times in 37 PostsAW: Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle
Nur gut das ich mein eigener Cloud Dienstler bin.
Kommentar von YT - Dislikes Addon - for FF, Chrome, Opera....
-
08.04.2023, 17:40 #5
- Registriert seit
- 30.09.2021
- Beiträge
- 1.625
Thanked 39 Times in 37 PostsAW: Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle
MS hat auf den Linux Servern (den eigenen(?)) Spyware installiert? ... oder haben sie es auch auf anderen Servern installieren können, indem sie Pakete modifiziert haben? -- Hast du damals dazu was gemacht? Gibt es dazu eine gute Info?
Kommentar von wolfgang gosejacob.
-
08.04.2023, 17:54 #6
- Registriert seit
- 15.11.2011
- Beiträge
- 6.334
- Blog Entries
- 5
Thanked 9.166 Times in 3.036 PostsAW: Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle
Ich hatte es auf meine Liste aufgenommen, bisher habe ich noch nichts ausführlicheres dazu veröffentlicht. Das waren 4 Schwachstellen in der Windows Management Infrastruktur und die betraf nicht Microsofts eigene Systeme, sondern Kundenserver. In Azure kann man auch VMs mieten. Wer das tut, war unwissend verwundbar, weil das Aktivieren einer Reihe von Azure-Funktionen im Hintergrund automatisch einen Agent auf der gemieteten VM installiert. Die heftigste Schwachstelle lag darin, dass dieser Agent einen HTTPS-Port öffnet, über den VM und Azure kommunizieren. Eine Authentifizierung per HTTP-Header war vorgesehen, aber komplett kaputt. Man konnte den Header einfach weglassen und ohne weiteren Schutz auf den Agenten zugreifen. Der wiederum lief als root und war berechtigt, Shell-Befehle auf der VM auszuführen. Somit konnte man aus der Ferne sehr einfach Code mit höchstmöglichen Rechten ausführen.
Teil 2 war, dass Microsoft diesen GAU nicht mal vernünftig gepatcht hat. Sie haben eine Aktualisierung veröffentlicht, die der Kunde aber selbst installieren musste. Das war in einem Support-Dokument versteckt, der relevante Teil befand sich rechts in einer Tabelle, die man nur durch Scrollen sah. Vielen wird ihre Betroffenheit gar nicht klar gewesen sein, weil sie die Software ja nie installiert haben. Dazu die Werbeversprechen, bei Cloud kümmert sich MS um so ziemlich alles. Abschließend hat Azure dann noch eine Zeit lang den stark verwundbaren Agenten in neuen VMs installiert, obwohl das Sicherheitsupdate dort längst bei MS verfügbar war.
Ähnliche Themen
-
Win7 Microsoft Office Starter 2010
Von velaja im Forum WindowsAntworten: 1Letzter Beitrag: 11.12.2013, 21:08 -
Microsoft Office 2013 Crack
Von jooosh im Forum SoftwareAntworten: 1Letzter Beitrag: 07.11.2013, 07:16 -
Win7 Microsoft Office/Word
Von !lkay im Forum WindowsAntworten: 1Letzter Beitrag: 18.03.2013, 17:32 -
Win7 Microsoft office Word 2007 Problem
Von Silidor im Forum WindowsAntworten: 0Letzter Beitrag: 18.07.2012, 00:36
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.