Microsoft heeft een ernstig beveiligingslek in Office 365, waardoor een aanvaller zakelijke accounts kon benaderen, in slechts 7 uur gedicht. Via de kwetsbaarheid had een aanvaller toegang tot e-mail, bestanden in OneDrive en andere zaken kunnen krijgen, zo meldt onderzoeker Ioannis Kakavas.
De kwetsbaarheid bevond zich in de SAML Service Provider-implementatie van Office 365. Security Assertion Markup Language (SAML) is een standaard om authenticatie- en autorisatiegegevens tussen domeinen uit te wisselen. Er wordt gewerkt met een serviceprovider, identiteitsprovider en de gebruiker. Gebruikers van Office 365 loggen in via login.microsoftonline.com. Zodra de gebruiker zijn gebruikersnaam invoert controleert de website of het domein van de gebruiker bij Office 365 bekend is.
Is het domein bekend en als federatief domein ingesteld, dan moet de gebruiker bij de identiteitsprovider inloggen. De identiteitsprovider laat vervolgens aan Microsoft weten dat de gebruiker toegang moet hebben. Microsoft had echter een fout bij de implementatie gemaakt. Kort samengevat bleek het mogelijk om gebruikers van een ander domein aan de eigen lijst van gebruikers toe te voegen en hier vervolgens mee in te loggen. Daarbij kregen de onderzoekers toegang tot de Office 365-omgeving van de echte gebruiker.
Het probleem speelde bij alle federatieve domeinen, aldus de onderzoekers. Onder andere het Spaanse Telefonika, Caltex Australia, Japan Airlines en British Airways waren kwetsbaar. Microsoft werd begin januari ingelicht en kwam zoals gezegd binnen 7 uur met een oplossing. Eind februari kregen de onderzoekers toestemming om hun onderzoek te publiceren, wat ze gisteren hebben gedaan. De onderzoekers zeggen door Microsoft te zijn beloond, maar een bedrag is niet bekendgemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.