image

Gerichte aanval op organisatie met Office 365

woensdag 11 december 2013, 13:30 door Redactie, 2 reacties

In april van dit jaar is een organisatie waar met Office 365 wordt gewerkt het doelwit van een gerichte aanval geworden, waarbij er een tot dan toe onbekende kwetsbaarheid in Office 2013 werd gebruikt. Dat laat beveiligingsbedrijf Adallom weten dat het incident onderzocht en dit eind mei aan Microsoft meldde.

De softwaregigant heeft het beveiligingslek gisterenavond gepatcht, waarop het beveiligingsbedrijf besloot om de technische details van de aanval te openbaren. De aanval begon met een werknemer van het bedrijf die een op maat gemaakte e-mail ontving met een link naar een Word-bestand. Dit document bevond zich op een Tor hidden service.

Token

De organisatie in kwestie werkt met het Office 365 cloudplatform, dat voor het openen van Word-bestanden de Office 2013 desktopapplicatie gebruikt. Zodra de gebruiker op de link in de e-mail klikte en Word 2013 het bestand bij de Tor hidden service opvroeg, vroeg de hidden service aan Word 2013 om het Office 365 token, dat vervolgens naar de hidden service werd gestuurd. Deze tokens worden gebruikt om een gebruiker op een SharePoint of andere Microsoft Office serversite te authenticeren.

Door het stelen van de tokens, die een aantal weken geldig zouden zijn, kregen de aanvallers toegang tot de SharePoint-site van de organisatie. Adallom denkt dan ook dat de aanvallers het op gegevens van de organisatie hadden voorzien en er sprake van datadiefstal is geweest. Om wat voor organisatie het precies gaat en in welke industrie het opereert kan het bedrijf niet zeggen.

Het probleem is alleen aanwezig in Office 2013. Organisaties die de software gebruiken krijgen het advies om Microsoft Security Bulletin MS13-104 te installeren, waarmee het lek wordt opgelost.

Reacties (2)
11-12-2013, 14:38 door Anoniem
Office365 is een beveiligingslek. Gewoon lokaal op je eigen server bewaren die bestanden.
12-12-2013, 08:29 door Anoniem
Dit lijkt veel op het cookie lek dat office365 al bevat sinds 2012 en waar (tot vorige week in ieder geval) nog niets aan gedaan is! Toch wel triest, door het kopiëren van een cookie van een openstaande sessie en deze te importeren op een willekeurige andere pc (ip adres etc maakt niet uit) zit je in de sessie van de gebruiker en kun je lekker simpel wachtwoorden wijzigen etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.