Microsoft schließt Phishing-Lücke

2 Minuten
Microsoft
Bildquelle: Microsoft
Microsoft hat eine Lösung für ein Sicherheitsproblem gefunden, durch die man per gestohlenem Login-Token unbefugt Zugang zu Online-Konten erhalten konnte, ohne Anmeldedaten eingeben zu müssen. Der Schlupfwinkel wurde von einem Sicherheitsforscher und Blogger entdeckt und ist mittlerweile durch Microsoft behoben worden.

Der Entdecker Jack Whitton hat einen von ihm gestarteten Angriff auf seinem Blog detailliert erklärt: Der unerlaubte Login zu einem Microsoft-Dienst, zum Beispiel Outlook oder OneDrive, erfolgt demnach durch einen Login-Token, während der rechtmäßige Nutzer in einem anderen Dienst angemeldet ist.

Der Angreifer sendet eine sogenannte POST-Anfrage von einer beliebigen URL an die entsprechende anzugreifende Domain und loggt sich dort mithilfe des Tokens ein. Der Token würde im Falle eines wirklichen Angriffes über Phsishing-Webseiten ausgespäht.

Die eigentliche Lücke im System von Microsoft bestand letztendlich darin, dass eben jede beliebige URL für den Angriff genutzt werden konnte und dank des Tokens von Microsofts jeweiligem Antwortserver authentifiziert wurde. Durch einen von Microsoft eingesetzten Patch sollen nun nur noch Log-In-URLs gültig sein.

Whitton brachte seine Entdeckung erst recht spät an die Öffentlichkeit. Bereits im Januar entdeckte er den Fehler und informierte die Microsoft-Techniker umgehend. Innerhalb von zwei Tagen schickten diese den Patch nach, der die Lücke schließen soll. Whitton bezeichnet den Fehler als klassischen CSRF-Bug – ein Fehler ohne den Ruf, verheerend zu sein. Allerdings könne ein solcher Fehler auch als eine Art Türöffner für schwerwiegende Angriffe in Authentifizierungssysteme fungieren.

Bildquellen:

  • Microsoft: Microsoft
Logo der neuen AVM-Firmware FritzOS 7.1

FritzOS 7.1 Update: Weitere Fritzbox bekommt die neue Software

AVM hat vor kurzem die neueste Version seiner Fritzbox-Software FritzOS vorgestellt und versorgt nun einen Router nach dem anderen. Die neuesten Profiteure sind Kunden mit einer Fritzbox 4040. Damit versorgt AVM nicht nur die vergleichsweise teuren Oberklassemodelle, sondern auch die Einsteiger-Router.
Avatar
Michael liebt Technik, ist seit 2012 mit Unterbrechung bei inside handy und schreibt über die neueste Technik. Zu seinen Aufgaben gehören das Ausprobieren von neuen Handys sowie das Betreuen der Social-Media-Auftritte. Seine Freude an der Technik wird nur von seiner Liebe für den Fußball übertroffen – besonders für den Verein seines Herzens, den 1. FC Köln. Er spielt aktiv im Verein und digital an der PlayStation. Wenn er nicht mit Ballsport oder Schreiben beschäftigt ist, verreist er gerne oder bewegt sich an der frischen Luft.

Deine Technik. Deine Meinung.

Und was sagst du?

Bitte gib Dein Kommentar ein!
Bitte gibt deinen Namen hier ein

geschützt durch reCAPTCHA Datenschutzerklärung - Nutzungsbedingungen