Microsoft repareert kwetsbaarheid in Azure, Office en Outlook

Microsoft heeft een kwetsbaarheid in zijn authenticatiesysteem verholpen. Hierdoor is het niet meer mogelijk dat kwaadwillenden Azure-, Office- of Outlookaccounts overnemen. De authenticatie hiervoor vindt plaats via login.live.com, login.microsoftonline.com en login.windows.net; de gebruiker krijgt dan een sessie.

Stel, iemand gaat naar outlook.office.com en wordt doorgezonden naar login.microsoftonline.com. Als hij op deze pagina is ingelogd, volgt een POST-request en er wordt een inlogtoken teruggezonden.

Cross-site request forgery
Dit token past Outlook toe om de gebruiker in te loggen op zijn e-mailaccount. Cookies zijn hiervoor niet geschikt, omdat de diensten op meerdere domeinen gehost worden. Een token is voldoende om een gebruiker te authenticeren. Jack Whitton, security-onderzoeker, kwam erachter dat de authenticatie-url kwetsbaar is voor cross-site request forgery (csrf).

Inlogtoken
Kwaadwillenden kunnen via een kwaadaardige url het inlogtoken naar zichzelf zenden. Die url moet dan wel door een ingelogde gebruiker worden geladen. Met het gestolen token kan de hacker op het account inloggen. Whitton berichtte Microsoft op 24 januari 2016 hierover. Twee dagen later patchte Microsoft het probleem.

Aanmelden voor onze nieuwsbrief