1. #1
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle

    In Azure Active Directory wurde eine Schwachstelle bekannt, die es in sich hat: Sie ermöglichte jedem Zugriff auf zahlreiche Administrationsoberflächen von internen Microsoft-Diensten, wie unter anderem Bing und MSN. Nicht nur diese Dienste waren dadurch manipulierbar: Durch eine Schwachstelle in der Bing Administrationsoberfläche und einer Integration von Office/Microsoft 365 konnte man Vollzugriff auf alle Microsoft 365 Daten von Bing-Nutzern erhalten. Darunter unter anderem Outlook Online, Teams, SharePoint, OneDrive. Wie die Schwachstelle funktioniert und warum Microsoft sehr viel Glück hatte, erfahrt ihr in diesem Beitrag.


    Zur Textversion im U-Labs Portal
    Zum Video auf YouTube


  2. #2
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard AW: Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle

    Echt oder April April?

    Kommentar von C-onner.

  3. #3
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard AW: Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle

    Alles echt und ziemlich aktuell, wurde erst gegen Ende der Woche öffentlich bekannt. Die Primärquelle ist im Portal-Artikel verlinkt.


  4. #4
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard AW: Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle

    Nur gut das ich mein eigener Cloud Dienstler bin.

    Kommentar von YT - Dislikes Addon - for FF, Chrome, Opera....

  5. #5
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard AW: Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle

    MS hat auf den Linux Servern (den eigenen(?)) Spyware installiert? ... oder haben sie es auch auf anderen Servern installieren können, indem sie Pakete modifiziert haben? -- Hast du damals dazu was gemacht? Gibt es dazu eine gute Info?

    Kommentar von wolfgang gosejacob.

  6. #6
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard AW: Vollzugriff auf Bing, Office 365 & interne Microsoft Systeme: Die BingBang Schwachstelle

    Ich hatte es auf meine Liste aufgenommen, bisher habe ich noch nichts ausführlicheres dazu veröffentlicht. Das waren 4 Schwachstellen in der Windows Management Infrastruktur und die betraf nicht Microsofts eigene Systeme, sondern Kundenserver. In Azure kann man auch VMs mieten. Wer das tut, war unwissend verwundbar, weil das Aktivieren einer Reihe von Azure-Funktionen im Hintergrund automatisch einen Agent auf der gemieteten VM installiert. Die heftigste Schwachstelle lag darin, dass dieser Agent einen HTTPS-Port öffnet, über den VM und Azure kommunizieren. Eine Authentifizierung per HTTP-Header war vorgesehen, aber komplett kaputt. Man konnte den Header einfach weglassen und ohne weiteren Schutz auf den Agenten zugreifen. Der wiederum lief als root und war berechtigt, Shell-Befehle auf der VM auszuführen. Somit konnte man aus der Ferne sehr einfach Code mit höchstmöglichen Rechten ausführen.

    Teil 2 war, dass Microsoft diesen GAU nicht mal vernünftig gepatcht hat. Sie haben eine Aktualisierung veröffentlicht, die der Kunde aber selbst installieren musste. Das war in einem Support-Dokument versteckt, der relevante Teil befand sich rechts in einer Tabelle, die man nur durch Scrollen sah. Vielen wird ihre Betroffenheit gar nicht klar gewesen sein, weil sie die Software ja nie installiert haben. Dazu die Werbeversprechen, bei Cloud kümmert sich MS um so ziemlich alles. Abschließend hat Azure dann noch eine Zeit lang den stark verwundbaren Agenten in neuen VMs installiert, obwohl das Sicherheitsupdate dort längst bei MS verfügbar war.


Ähnliche Themen

  1. Win7 Microsoft Office Starter 2010
    Von velaja im Forum Windows
    Antworten: 1
    Letzter Beitrag: 11.12.2013, 21:08
  2. Microsoft Office 2013 Crack
    Von jooosh im Forum Software
    Antworten: 1
    Letzter Beitrag: 07.11.2013, 07:16
  3. Win7 Microsoft Office/Word
    Von !lkay im Forum Windows
    Antworten: 1
    Letzter Beitrag: 18.03.2013, 17:32
  4. Win7 Microsoft office Word 2007 Problem
    Von Silidor im Forum Windows
    Antworten: 0
    Letzter Beitrag: 18.07.2012, 00:36
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.