Forscher decken kritische Sicherheitslücken in Microsoft-Anwendungen auf

Sicherheitsforscher des Cybersecurity-Unternehmens Wiz haben eine neue Art von Angriff aufgedeckt, die es Hackern ermöglicht, die Authentifizierung zu umgehen und Benutzerkonten in verschiedenen Microsoft-Anwendungen zu übernehmen. Die Untersuchung ergab, dass die Schwachstelle in Azure Active Directory, einem von Unternehmen weltweit genutzten Dienst für Einzelanmeldung und Multi-Faktor-Authentifizierung, begründet ist.

Laut der Untersuchung führte eine Fehlkonfiguration in Azure Active Directory zu einer Reihe potenziell schwerwiegender Probleme, durch die mindestens 35 % der gescannten Anwendungen für eine Umgehung der Authentifizierung anfällig waren. Zu den schwerwiegendsten Beispielen für diese Schwachstelle gehört eine ungeschützte Verwaltungsschnittstelle, die mit Bing verbunden ist und es jedem Benutzer ermöglicht, auf die Schnittstelle zuzugreifen, was zu einem funktionalen Verwaltungsbereich für die Suchmaschine führt.

Das Forschungsteam war in der Lage, Suchmaschinenergebnisse zu manipulieren und Cross-Site-Scripting (XSS)-Angriffe zu starten, die es ihnen ermöglichten, die Office365-Anmeldedaten eines beliebigen Bing-Benutzers zu kompromittieren. Dies ermöglichte ihnen den Zugriff auf sensible Daten wie private Daten, Outlook-E-Mails, SharePoint-Dateien und Teams-Nachrichten. Dieser spezielle Angriff wurde als "BingBang" bezeichnet und stellt angesichts der Popularität von Bing, das weltweit auf Platz 27 der meistbesuchten Websites steht, ein erhebliches Risiko für die Nutzer dar.

Die Forscher entdeckten auch Schwachstellen in anderen Anwendungen wie Mag News, einem Bedienfeld für MSN-Newsletter, PoliCheck, einem Prüfprogramm für verbotene Wörter, Power Automate Blog (einem WordPress-Administrationsprogramm) und CNS API, einem zentralen Benachrichtigungsdienst. Hacker können diese Anwendungen nutzen, um interne Benachrichtigungen an Microsoft-Entwickler zu senden oder E-Mails an eine große Anzahl von Empfängern zu verschicken.

Microsoft wurde über diese Sicherheitslücken informiert und hat sofort Schritte unternommen, um sie zu beheben. In einem Leitfaden bestätigte Microsoft, dass das Problem behoben wurde und zusätzliche Berechtigungsprüfungen implementiert wurden, um künftige Risiken zu verringern. Das Bing-Problem wurde erstmals am 31. Januar gemeldet und noch am selben Tag behoben, während die zusätzlichen Sicherheitslücken am 25. Februar gemeldet und am 20. März behoben wurden.

Obwohl es keine stichhaltigen Beweise dafür gibt, dass diese Schwachstellen von Hackern ausgenutzt werden, ist es wichtig, vorsichtig zu sein. Laut Microsoft sind die Azure Active Directory-Protokolle "unzureichend, um einen Einblick in frühere Aktivitäten zu geben". Daher wird den Benutzern empfohlen, Anwendungsprotokolle einzusehen und auf Anzeichen für zweifelhafte Anmeldungen zu prüfen.

Zu den Quellen für diesen Artikel gehört ein Artikel in Malwarebytes.

Zusammenfassung

Artikel Name

Forscher decken kritische Sicherheitslücken in Microsoft-Anwendungen auf

Beschreibung

Sicherheitsforscher des Cybersecurity-Unternehmens Wiz haben eine neue Art von Angriff aufgedeckt, die es Hackern ermöglicht, die Authentifizierung zu umgehen.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers