In april van dit jaar is een organisatie waar met Office 365 wordt gewerkt het doelwit van een gerichte aanval geworden, waarbij er een tot dan toe onbekende kwetsbaarheid in Office 2013 werd gebruikt. Dat laat beveiligingsbedrijf Adallom weten dat het incident onderzocht en dit eind mei aan Microsoft meldde.

De softwaregigant heeft het beveiligingslek gisterenavond gepatcht, waarop het beveiligingsbedrijf besloot om de technische details van de aanval te openbaren. De aanval begon met een werknemer van het bedrijf die een op maat gemaakte e-mail ontving met een link naar een Word-bestand. Dit document bevond zich op een Tor hidden service.

Token

De organisatie in kwestie werkt met het Office 365 cloudplatform, dat voor het openen van Word-bestanden de Office 2013 desktopapplicatie gebruikt. Zodra de gebruiker op de link in de e-mail klikte en Word 2013 het bestand bij de Tor hidden service opvroeg, vroeg de hidden service aan Word 2013 om het Office 365 token, dat vervolgens naar de hidden service werd gestuurd. Deze tokens worden gebruikt om een gebruiker op een SharePoint of andere Microsoft Office serversite te authenticeren.

Door het stelen van de tokens, die een aantal weken geldig zouden zijn, kregen de aanvallers toegang tot de SharePoint-site van de organisatie. Adallom denkt dan ook dat de aanvallers het op gegevens van de organisatie hadden voorzien en er sprake van datadiefstal is geweest. Om wat voor organisatie het precies gaat en in welke industrie het opereert kan het bedrijf niet zeggen.

Het probleem is alleen aanwezig in Office 2013. Organisaties die de software gebruiken krijgen het advies om Microsoft Security Bulletin MS13-104 te installeren, waarmee het lek wordt opgelost.