Azure-Lücke: Prüfen Sie die Konfiguration Ihres Azure AD

Microsofts Azure Active Directory (AAD) bietet Administratoren und Entwicklern eine einfache Authentifizierung von Nutzern und Single-Sign-on-Funktionen. Es erlaubt auch die Authentifizierung von Nutzern ausserhalb der eigenen Organisation, was für öffentliche Webanwendungen von Vorteil sein kann. Wenn jedoch diese «multi-tenancy» aktiviert wird, kann dies zu Sicherheitsrisiken führen. Microsoft ist nun selbst Opfer eines solchen Angriffs geworden, wie «heise online» berichtet. Über manipulierte Suchergebnisse in der Suchmaschine «Bing» konnte ein Sicherheitsforscher eigene Ergebnisse ganz oben in der Liste platzieren und mit Schadcode versehen. Der hätte dann zum Beispiel Zugangscookies von angemeldeten Office365-Kunden stehlen können. Microsoft hat schnell reagiert und einen Hotfix bereitgestellt.Falls Sie in Ihrem Unternehmen AAD einsetzen, empfehlen wir Ihnen, den ausführlichen Blogartikel der Entdecker zu lesen, in dem auch darauf eingegangen wird, wie man die eigene Umgebung absichert.

Weitere Informationen

• Azure-Lücke erlaubte Datenklau bei Millionen Office365-Kunden (heise online)
• BingBang: AAD misconfiguration led to Bing.com results manipulation and account takeover (WIZ Blog)