image

Carrièresite Microsoft kwetsbaar door onbeveiligde database

zondag 14 februari 2016, 11:06 door Redactie, 16 reacties

De carrièresite van Microsoft was kwetsbaar voor aanvallen doordat de database voor heel het internet zonder inloggegevens toegankelijk was. Hierdoor kon een aanvaller willekeurige html-code aan vacatures toevoegen, bijvoorbeeld voor het infecteren van vacaturezoekers met malware of phishingaanvallen.

Het probleem speelde op m.careersatmicrosoft.com, de mobiele website van de carrièresite die door het bedrijf Punchkick Interactive wordt onderhouden. Beveiligingsonderzoeker Chris Vickery ontdekte dat de MongoDB-database van de website geen schrijfbeveiliging had en via het internet voor iedereen toegankelijk was. Daardoor konden aanvallers html-code aan de vacaturepagina's toevoegen. "In dit geval zouden browseraanvallen tegen nietsvermoedende vacaturezoekers kunnen worden uitgevoerd. Het zou ook een fantastische phishingmogelijkheid bieden, aangezien mensen die bij Microsoft willen solliciteren vaak over waardevolle inloggegevens beschikken", stelt Vickery.

De onderzoeker vond in de database ook de naam, e-mailadres, wachtwoordhash en tokens van een Microsoft-marketingmanager. Nadat Microsoft en Punchkick Interactive waren ingelicht werd het probleem verholpen. Vickery heeft in het verleden meerdere problemen met onbeveiligde MongoDB-databases aangetoond, waardoor gegevens van miljoenen mensen via internet toegankelijk waren.

MongoDB is populaire databasesoftware die door allerlei websites en diensten wordt gebruikt, maar doordat tal van organisaties verouderde versies van de software hebben geïnstalleerd zijn de databases voor iedereen toegankelijk. De oudere versies vereisen namelijk geen wachtwoord. Alleen het weten van het ip-adres van de databaseserver is daardoor voldoende. Deze ip-adressen zijn met een zoekmachine als Shodan eenvoudig te vinden.

Reacties (16)
14-02-2016, 12:06 door Anoniem
Als je een website met een database eraan opzet dan zet je dat toch niet zo in elkaar dat die database ook op een
publiek bereikbaar IP adres zit??? Het wachtwoord maakt dan helemaal niet uit.
Wellicht is de gemiddelde beheerder van zo iets geen groot licht op netwerkgebied... NEXT NEXT NEXT FINISH en
klaar zijn we.
14-02-2016, 13:56 door Rolfieo
Door Anoniem: Als je een website met een database eraan opzet dan zet je dat toch niet zo in elkaar dat die database ook op een
publiek bereikbaar IP adres zit??? Het wachtwoord maakt dan helemaal niet uit.
Wellicht is de gemiddelde beheerder van zo iets geen groot licht op netwerkgebied... NEXT NEXT NEXT FINISH en
klaar zijn we.
Dat is heel goed mogelijk.....
Maar alleen dan is het net wel jammer dat de site op Linux icm nginx gehost wordt. Blijkbaar ook nog eens niet achter een goed ingerichte firewall.

Dit bewijst maar weer eens, dat veiligheid van een server afhangt van de beheerder die de server beheerd. En de applicatie beheerders, maar dat is weer een ander verhaal.
14-02-2016, 14:25 door Anoniem
Door Rolfieo:
Maar alleen dan is het net wel jammer dat de site op Linux icm nginx gehost wordt. Blijkbaar ook nog eens niet achter een goed ingerichte firewall.

O maar daar is het nog erger!!! pakketje installeren en klaar zijn we. firewall optioneel.
Kan allemaal want "Linux is heel veilig" wordt door de meelopers rondgetoeterd, dus degenen die zo iets moeten opzetten
zijn zich van geen kwaad bewust en denken dat ze goed bezig zijn.

root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
14-02-2016, 16:51 door karma4
Als dit de kwaliteit van een "full service" is, wat is er dan nog meer? Ze zijn er trots op de 500 fortune als klanten te hebben, dan zou je wat beters dan dit verwachten. https://www.punchkick.com/work ummm mariott https://www.security.nl/posting/12573/Recordaantal+bedrijven+gehackt+in+2005 een terugkerende naam http://www.esecurityplanet.com/network-security/marriott-hotels-hit-by-credit-card-breach.html met de opmerking dat ze die systemen niet beheren / niet verantwoordelijk voor zijn. Uitbesteed .... not my problem.
14-02-2016, 19:06 door Ron625
Door Anoniem:
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
Gelukkig kan dat bij de meeste distributies niet (meer).......
14-02-2016, 19:40 door Anoniem
Door Ron625:
Door Anoniem:
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
Gelukkig kan dat bij de meeste distributies niet (meer).......
O? Nou volgens mij komen er juist steeds meer die dat default zo doen, de Ubuntu/Raspbian clan.
14-02-2016, 20:55 door karma4
Door Ron625:
Door Anoniem:
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
Gelukkig kan dat bij de meeste distributies niet (meer).......
Zou beter zijn van wel. Sudo is niet enkel voor root maar dekt ook de isolatie via service accounts en andere high privileged accounts. Daarmee verkrijg je de situatie van een gecontroleerde omgeving met aparte zaakjes zoals docker ook doet.
De gebezigde praktijk om Shared accounts met passwords hard coded in config files te zetten is vragen om de hacks. Ooit nagedacht over aanbrengen van stricte scheiding in container filosofie?
15-02-2016, 09:53 door Anoniem
Eén woord: MICROSOF
15-02-2016, 10:30 door [Account Verwijderd] - Bijgewerkt: 15-02-2016, 10:38
[Verwijderd]
15-02-2016, 10:58 door Anoniem
Door Muria:
Door Anoniem:
Door Ron625:
Door Anoniem:
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
Gelukkig kan dat bij de meeste distributies niet (meer).......
O? Nou volgens mij komen er juist steeds meer die dat default zo doen, de Ubuntu/Raspbian clan.

Natuurlijk niet! Je geeft bij installatie een gebruikersaccount op en indien er dan geen separaat root account is dan zit je achter een 'sudo-wall'. Maar als je dan je wachtwoord op straat legt, tja...

Ik ben "van vroeger" gewend dat je werkt onder een gebruikersaccount en als je dan meer moet doen dan doe je een su
waarvoor je het root wachtwoord moet weten. Echter als je tegenwoordig zo'n systeem installeert kun je overal sudo
voor tikken en dan doet hij het als root, zonder verdere validatie. Ik vind dat slecht, maar kennelijk zijn er goden die er
anders over denken.
15-02-2016, 12:39 door [Account Verwijderd] - Bijgewerkt: 15-02-2016, 12:40
[Verwijderd]
15-02-2016, 21:05 door karma4
Door Muria: Windows 10 calls home a lot; Russia hikes tech tax and intends to switch to Linux http://www.networkworld.com/article/3033159/security/windows-10-calls-home-a-lot-russia-hikes-tech-tax-and-intends-to-switch-to-linux.html via @networkworld
Wahhhh ze (MS) hebben het extern uitbesteed waarbij een Linux (server) omgeving de oorzaak is van lekken. En jij blijft hangen in je eigen een desktop frustratie? Rare insteek. sudo = open.
16-02-2016, 20:45 door [Account Verwijderd]
[Verwijderd]
16-02-2016, 20:51 door [Account Verwijderd]
[Verwijderd]
16-02-2016, 22:59 door karma4 - Bijgewerkt: 16-02-2016, 23:08
Door Muria:
Nou, nee: Microsoft heeft onderkend dat hun eigen besturingssysteem voor deze carrière site toepassing ongeschikt is (te licht bevonden).
Nog een rare dat jij de interne overweging als CEO Microsoft kent.
Dit soort acties zijn bij elk wat groter bedrijf normaal. De interne afdeling zoals een HR komt er niet met de interne ict afdeling of de schaduw (doe het zelf) benadering. Dan vragen ze het aan een externe partij om het te doen. Microsoft als derde partij voor intern Microsoft is nu niet bepaald logisch. HR bandnsite lijkt me nu niet bepaald de Core business van ms.
Je moest eens weten hoeveel echt kritische zaken zo buiten de deur en buiten zicht van het bedrijf gedaan wordt. Bij nogal wat faals en data lekken zie je het tussendoor genoemd worden.
17-02-2016, 09:57 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.