Ein Sicherheitsforscher konnte über manipulierte Suchergebnisse in Microsofts Suchmaschine Bing eigene Ergebnisse ganz oben in der Liste platzieren und mit Schadcode versehen. Damit hätte er dann beispielsweise Zugangscookies von angemeldeten Office365-Kunden stehlen können.

Das Azure Active Directory bietet Microsoft als Cloud-Dienst für Kunden an. Zum Identitätsmanagement wird das System aber auch für interne Dienste genutzt. Durch eine Fehlkonfiguration erlangte der Forscher mit seinem Azure-AD-Nutzer Zugriff auf interne Administrationswerkzeuge für die Bing-Suchmaschine. Dort konnte er dann weitgehend frei schalten und walten.

Im Januar dieses Jahres fand die Sicherheitsfirma Wiz bei einem Scan auf angreifbare Azure-Apps eine Subdomain namens "bingtrivia.azurewebsites.net". Den Sicherheitsforschern gelang ein AD-Login mit ihren eigenen Zugangsdaten auf Anhieb und sie bekamen Zugriff auf ein Microsoft-internes Content Management System. Auf bing.com konnten dann direkt live Änderungen, auch in den Suchergebnissen, durchgeführt werden. Die Wiz-Mitarbeiter konnten so beispielsweise das Hintergrundbild der Bing-Startseite austauschen und sogar die Suchergebnisse verändern.

Die Entdecker meldeten sich beim Microsoft Security Response Center (MSRC). Es wurde am selben Tag noch ein Hotfix eingespielt. In einem ausführlichen Blogartikel der Entdecker können Nutzer von Azure AD unter anderem lesen, wie die eigene Umgebung abgesichert werden kann.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE