Microsoft schließt Phishing-Lücke

2 Minuten
Microsoft
Bildquelle: Microsoft
Microsoft hat eine Lösung für ein Sicherheitsproblem gefunden, durch die man per gestohlenem Login-Token unbefugt Zugang zu Online-Konten erhalten konnte, ohne Anmeldedaten eingeben zu müssen. Der Schlupfwinkel wurde von einem Sicherheitsforscher und Blogger entdeckt und ist mittlerweile durch Microsoft behoben worden.

Der Entdecker Jack Whitton hat einen von ihm gestarteten Angriff auf seinem Blog detailliert erklärt: Der unerlaubte Login zu einem Microsoft-Dienst, zum Beispiel Outlook oder OneDrive, erfolgt demnach durch einen Login-Token, während der rechtmäßige Nutzer in einem anderen Dienst angemeldet ist.

Der Angreifer sendet eine sogenannte POST-Anfrage von einer beliebigen URL an die entsprechende anzugreifende Domain und loggt sich dort mithilfe des Tokens ein. Der Token würde im Falle eines wirklichen Angriffes über Phsishing-Webseiten ausgespäht.

Die eigentliche Lücke im System von Microsoft bestand letztendlich darin, dass eben jede beliebige URL für den Angriff genutzt werden konnte und dank des Tokens von Microsofts jeweiligem Antwortserver authentifiziert wurde. Durch einen von Microsoft eingesetzten Patch sollen nun nur noch Log-In-URLs gültig sein.

Whitton brachte seine Entdeckung erst recht spät an die Öffentlichkeit. Bereits im Januar entdeckte er den Fehler und informierte die Microsoft-Techniker umgehend. Innerhalb von zwei Tagen schickten diese den Patch nach, der die Lücke schließen soll. Whitton bezeichnet den Fehler als klassischen CSRF-Bug – ein Fehler ohne den Ruf, verheerend zu sein. Allerdings könne ein solcher Fehler auch als eine Art Türöffner für schwerwiegende Angriffe in Authentifizierungssysteme fungieren.

Bildquellen:

  • Microsoft: Microsoft
Störung bei Unitymedia

Unitymedia Störung: Kein Internet wegen Wartungsarbeiten

Regelmäßig führt Unitymedia in Nordrhein-Westfalen, Hessen und Baden-Württemberg Wartungsarbeiten an seinem Kabelnetz durch. Das kann zur Folge haben, dass vorübergehend Internet-, Telefon- und TV-Dienste nicht nutzbar sind. inside handy gibt einen Überblick dazu, wo in den kommenden Tagen mit einem Ausfall der Unitymedia-Dienste gerechnet werden muss und wo es aktuell zu Störungen kommt.
Vorheriger ArtikelEin einfacher Trick schafft Speicherplatz
Nächster ArtikelKommentar-Netzwerk gibt es jetzt auch für das iPhone
Michael liebt Technik und vor allem Smartphone-Tests. Seit 2012 ist er mit Unterbrechung bei inside handy und schreibt über die neueste Technik. Zu seinen Aufgaben gehören das Ausprobieren von neuen Handys sowie das Betreuen der Social-Media-Auftritte. Seine Freude an der Technik wird nur von seiner Liebe für den Fußball übertroffen – besonders für den Verein seines Herzens, den 1. FC Köln. Er spielt aktiv im Verein und digital an der PlayStation. Wenn er nicht mit Ballsport oder Schreiben beschäftigt ist, verreist er gerne und betätigt sich als Chefredakteur des Gin-Magazins.

Deine Technik. Deine Meinung.

Und was sagst du?

Bitte gib Dein Kommentar ein!
Bitte gibt deinen Namen hier ein

VERWANDTE NEWS