{"id":10292,"date":"2023-04-01T19:02:28","date_gmt":"2023-04-01T17:02:28","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=10292"},"modified":"2023-07-13T10:05:05","modified_gmt":"2023-07-13T08:05:05","slug":"bingbang-hunderte-millionen-durch-azure-ad-konfigurationsfehler-bing-sicherheitsluecken-gefaehrdet-inklusive-microsoft-office-365-selbst","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/bingbang-hunderte-millionen-durch-azure-ad-konfigurationsfehler-bing-sicherheitsluecken-gefaehrdet-inklusive-microsoft-office-365-selbst\/","title":{"rendered":"„BingBang“: Hunderte Millionen durch Azure AD Konfigurationsfehler & Bing Sicherheitsl\u00fccken gef\u00e4hrdet – inklusive Microsoft\/Office 365 selbst"},"content":{"rendered":"

Diese Schwachstelle hat es selbst f\u00fcr Microsofts Verh\u00e4ltnisse in sich: Sowohl Kunden von Azure Active Directory (AAD) sind betroffen – aber auch die eigenen Office\/Microsoft 365 Dienste mit Outlook, Teams, SharePoint, OneDrive & diversen weitere. Angreifer konnten sogar die Suchergebnisse von Bing manipulieren und auf sensible interne Systeme des Konzerns mit vollen Rechten zugreifen. Was in der Microsoft-Cloud schief gelaufen ist, warum die Ursache trivial war und wie selbst Microsoft selbst darauf hereinfallen konnte, erkl\u00e4rt dieser Beitrag.<\/p>\n

Vorwissen: Wie Daten in der Microsoft-Cloud zugeordnet werden<\/h2>\n

Azure Active Directory<\/strong> (AAD) ist Microsofts Identit\u00e4tsdienst f\u00fcr die eigene Azure-Cloud. Vereinfacht gesagt legt man dort Microsoft-Benutzerkonten an und vergibt Rechte, damit sich Nutzer an Internetdiensten wie Office 365 oder (eigenen) Drittanbieter-Anwendungen anmelden k\u00f6nnen. Es ist die Cloud-Variante vom Active Directory<\/strong> (AD): Der 1999 entwickelte zentrale Verzeichnisdienst aus der lokalen Serverwelt f\u00fcr Mitarbeiterkonten, Gruppen, Server, Freigaben und weitere Objekte in Windows-Umgebungen. AAD wird von Microsoft als sicher beworben.<\/p>\n

In der Microsoft Office Cloud gibt es eindeutige Tenant<\/strong> (Mandanten), zu Deutsch Mieter<\/em>. Dabei handelt es sich um eine Instanz der Clouddienste f\u00fcr eine Organisation, wie z.B. ein Unternehmen. Ihm werden alle Daten zugeordnet, \u00e4hnlich wie die im Mietvertrag enthaltenen Leistungen eines Mieters. Nur sind es hier eben digitale Leistungen, die in einer logischen Einheit mit dem jeweiligen Unternehmen verkn\u00fcpft werden.<\/p>\n

Ein falscher Klick in Azure Active Directory f\u00fchrt zur Katastrophe<\/h2>\n

Wer seine Anwendungen in der Azure-Cloud hostet, nutzt oft das dort angebotene Azure Active Directory zur Authentifizierung. Mit wenigen Klicks l\u00e4sst sich eine Anwendung an AAD anbinden. Bei der Einrichtung muss man festlegen, woher berechtigte Konten stammen: Nur aus dem eigenen Tenant oder aus jedem beliebigen AAD aller Kunder in der Azure-Cloud. Letzteres ist daf\u00fcr Gedacht, wenn z.B. eine Unternehmensgruppe f\u00fcr jedes Unternehmen mehrere Tenants einsetzt und eine Anwendung f\u00fcr alle verf\u00fcgbar machen m\u00f6chte.<\/p>\n

Die Multi-Tenant Einstellung hat es jedoch in sich: Microsoft f\u00fchrt damit nur die Authentifizierung durch, d.H. es wird gepr\u00fcft, ob die Anmeldedaten zu einem beliebigen AAD-Konto stimmen. Eine Autorisierung, die pr\u00fcft, ob das Konto f\u00fcr den Zugriff berechtigt ist, findet nicht statt. Schlie\u00dflich wei\u00df Microsoft nicht, welche Tenants\/Nutzer den Zugriff haben sollen. Anders ausgedr\u00fcckt: Jeder Microsoft-Kunde mit AAD kann sich erfolgreich anmelden. Man muss also danach in der Anwendung selbst pr\u00fcfen, ob der Benutzer aus einem bekannten Tenant stammt und ob er zur Anmeldung berechtigt sein soll. Die einfache Maske verbirgt diese Komplexit\u00e4t, mit der viele nicht gerechnet haben.<\/p>\n

25% der gepr\u00fcften Instanzen sind verwundbar, inklusive Microsoft selbst<\/h2>\n

In einer von Wiz Research analysierten Stichprobe<\/a> f\u00fchrten 1\/4 diese Pr\u00fcfung nicht durch, sodass sich jeder anmelden konnte. Und das ist „nur“ die Spitze vom Eisberg: Darunter befindet sich auch die Administrationsoberfl\u00e4che von Microsofts Suchmaschine Bing. Mit wenigen Mausklicks war es ohne weitere Hindernisse m\u00f6glich, z.B. die Suchergebnisse zu manipulieren oder das Hintergrundbild – nahezu volle Kontrolle also. Zwar ist Bing nicht so verbreitet wie Google, aber durch seine Marktmacht und KI erreichte sie im M\u00e4rz 2023 stolze 100 Millionen Nutzer pro Tag<\/a>. Alleine damit lie\u00dfe sich also schon viel Schaden anrichten.<\/p>\n

Die Administrationsoberfl\u00e4che enth\u00e4lt jedoch eine kritische XSS-Schwachstelle. Durch sie kann ein Widget attackiert werden, das berufliche Daten aus dem Microsoft Tenant \u00fcber die Office 365 anzeigt. So ist es m\u00f6glich, auf nahezu alle Office 365 Daten des Opfers zuzugreifen: Etwa Outlook inklusive Kalender und Mails, Microsoft Teams, SharePoint, OneDrive und weitere Clouddienste.<\/p>\n

Auch das ist nicht alles: Nicht nur das Bing-Team war mit der Komplexit\u00e4t von AAD \u00fcberfordert, sondern zahlreiche weitere interne Systeme:<\/p>\n