image

Office 365 was kwetsbaar voor netwerkaanval door lek in Microsoft Teams

woensdag 16 oktober 2019, 14:10 door Redactie, 9 reacties

Microsoft Office 365 was door een lek in Microsoft Teams kwetsbaar voor een netwerkaanval waarbij een aanvaller in bepaalde gevallen toegang tot accounts van gebruikers had kunnen krijgen. Dat ontdekte beveiligingsonderzoeker Dirk-jan Mollema van securitybedrijf Fox-IT. Microsoft heeft de kwetsbaarheid inmiddels verholpen waarop Mollema maandag de details openbaar maakte.

Microsoft Teams is een communicatieplatform dat verschillende functionaliteiten combineert, zoals chat, videomeetings, bestandsopslag en applicatie-intergratie. De dienst is vanuit Office 365 te gebruiken. Wanneer een Office 365-applicatie een gebruiker wil authenticeren wordt de gebruiker naar de centrale Microsoft-inlogpagina doorgestuurd. In de url die hiervoor wordt gebruikt is de unieke applicatie-ID aanwezig en een url om de gebruiker na het authenticeren terug te sturen.

Wanneer de gebruiker is geauthenticeerd wordt de toegangstoken aan de url toegevoegd en gebruikt om de gebruiker terug naar de applicatie te sturen. Door de manier waarop het toegangstoken aan de url wordt toegevoegd is het voor JavaScript op de pagina toegankelijk, zodat de gebruiker op de betreffende applicatie kan worden ingelogd. Om misbruik te voorkomen maakt Microsoft per applicatie gebruik van een whitelist met toegestane redirect url's.

Mollema ontdekte dat in het geval van Microsoft Teams de whitelist een redirect url met "http://dev.local" toestond. Een aanvaller met controle over die pagina en de mogelijkheid om een gebruiker hier na het inloggen naar toe te sturen kon het toegangstoken van de gebruiker onderscheppen en vervolgens op zijn Office 365-account inloggen. Dit was zowel via een kwaadaardig wifi-netwerk als een lokaal netwerk mogelijk.

Wanneer een gebruiker met een kwaadaardig wifi-netwerk verbinding zou maken had de aanvaller de automatisch detectie van captive portals kunnen gebruiken om de gebruiker naar een willekeurige site door te sturen. Een captive portal is een inlogscherm dat verschijnt als gebruikers verbinding met bepaalde wifi-netwerken willen maken, bijvoorbeeld van hotels, luchthavens of internetcafés.

De website van de aanvaller had de gebruiker via de Microsoft Teams Web Client applicatie-ID en dev.local reply url weer kunnen doorsturen naar de inlogpagina van Microsoft. Zodra de gebruiker op de Microsoft-inlogpagina was ingelogd werd de gebruiker automatisch teruggestuurd naar de dev.local site. Omdat de aanvaller controle over het netwerk heeft kan die via JavaScript op een pagina het toegangstoken van de gebruiker onderscheppen en naar zichzelf terugsturen.

Met het toegangstoken kan de aanvaller weer op het Office 365-account van de gebruiker inloggen en zo e-mails van de gebruiker lezen, in zijn naam e-mails versturen, zijn OneDrive-bestanden en SharePoint-sites en -bestanden benaderen. Microsoft werd in juni over de kwetsbaarheid geïnformeerd en kwam drie maanden later in september met een oplossing.

Image

Reacties (9)
16-10-2019, 15:17 door Bitje-scheef
Yippie...........
16-10-2019, 17:11 door Anoniem
Betekend dit ook, wanneer je een Man in the Middle attack uitvoert in een wifi netwerk en daar 1 van de whitelist pagina's spooft. De exact dezelfde methode kunt uitvoeren om het token te achterhalen?
16-10-2019, 18:36 door Anoniem
Nou Microsoft zit een beetje te lekken... Goed nieuws hoor Guys!
16-10-2019, 18:39 door Password1234
redirect_uri https://developers.google.com/identity/protocols/OpenIDConnect
Er is vast meer te ontdekken zoals dit.
17-10-2019, 10:40 door Jordy U.
Door Anoniem: Betekend dit ook, wanneer je een Man in the Middle attack uitvoert in een wifi netwerk en daar 1 van de whitelist pagina's spooft. De exact dezelfde methode kunt uitvoeren om het token te achterhalen?
Ik ga ervanuit dat die whitelist pagina's allemaal geëncrypte HTTPS sites zijn (op dev.local na). Dus de inhoud, waaronder de tokens, zijn niet te spoofen.
17-10-2019, 13:56 door Anoniem
Wat ik heel erg hinderlijk vond van Microsoft dat hij op bijna iedere pc van me stond plotseling zonder aankondiging of vraag wilt u dit JA/NEE !
Meteen verwijderd dus.... Alweer lekker bezig MicroSh*t.
17-10-2019, 22:27 door Anoniem
Door Anoniem: Wat ik heel erg hinderlijk vond van Microsoft dat hij op bijna iedere pc van me stond plotseling zonder aankondiging of vraag wilt u dit JA/NEE !
Meteen verwijderd dus.... Alweer lekker bezig MicroSh*t.
Hoe bedoel je deze? Teams stond er namelijk niet zomaar op. Was al lang aangekondigd. En is een onderdeel van MS Office 365. Dat jij niet precies begrijpt wat de gedachten achter een cloud infrastructuur is, dan is het geen MicroSh*t issue, maar een eind gebruikers probleem.

Bij Cloud heb je maar bepaalde keuzes die de cloud leverancier maakt voor je. Wil je dat niet, dan zit je bij de verkeerde cloud leverancier met je software. Je kunt het maar fine tunen tot een bepaalde hoogte.

Al verwijder ik Teams ook direct, heeft weinig toegevoegde waarde, is traag, werkt niet fijn. Geef mij Skype4B maar. Werkt 10 keer beter.
18-10-2019, 10:13 door Anoniem
Heb het gelijk eraf gegooid. Tijdens een update wordt dit zomaar even geinstalleerd zonder toestemming.
18-10-2019, 11:24 door Anoniem
Door Anoniem:
Door Anoniem: Wat ik heel erg hinderlijk vond van Microsoft dat hij op bijna iedere pc van me stond plotseling zonder aankondiging of vraag wilt u dit JA/NEE !
Meteen verwijderd dus.... Alweer lekker bezig MicroSh*t.
Hoe bedoel je deze? Teams stond er namelijk niet zomaar op. Was al lang aangekondigd. En is een onderdeel van MS Office 365. Dat jij niet precies begrijpt wat de gedachten achter een cloud infrastructuur is, dan is het geen MicroSh*t issue, maar een eind gebruikers probleem.

Bij Cloud heb je maar bepaalde keuzes die de cloud leverancier maakt voor je. Wil je dat niet, dan zit je bij de verkeerde cloud leverancier met je software. Je kunt het maar fine tunen tot een bepaalde hoogte.

Al verwijder ik Teams ook direct, heeft weinig toegevoegde waarde, is traag, werkt niet fijn. Geef mij Skype4B maar. Werkt 10 keer beter.

Ja ik ben de fout, ja zekers schuif mij de schuld in de schoenen en ga maar Microsoft verdedigen. De update werd onaangekondigd zonder mij hiervan op de hoogte te stellen geïnstalleerd vanaf afstand (internet). Wat ik daarmee bedoel is dat ik geen melding ervan heb gekregen op mijn computer, dus de vraag van wilt u Teams installeren ja of nee? Dat ik niet op MicroSh*t hun blog iedere dag zit te lezen als een "fanboy" is een verklaring ansicht. Dat u dat doet, fijn voor u.
Heb dit ook op andere systemen gezien, kreeg zelfs van een kennis de vraag of het een virus was omdat hij dat helemaal zelf niet geïnstalleerd had. Helaas weet niet iedereen zoveel als ons van de hele IT af. Dus deze move van Microsoft is weer eens heel strak in het pak zoals altijd..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.