Door simpelweg een Word-document of een Powerpoint-slide te hosten is het mogelijk om Sharepoint-verificatiegegevens te stelen.

Advertentie

Iedereen die een Word-document host op zijn webserver, kan de verificatie-token van Microsoft Office 365 stelen. Dat komt door een fout in de manier waarop de clouddienst gebruikers verifieert.

De fout werd ontdekt door Noam Liran van de beveiligingsfirma Addalom. Op zijn blog doet hij uit de doeken hoe een en ander in zijn werk gaat.

Office 365-gebruikers moeten in hun account inloggen en, wanneer ze een document afhalen van een Sharepoint-server, controleert die hun gegevens door een authenticatietoken te sturen.

Dit token zou enkel gestuurd mogen worden wanneer de server zich op het Sharepoint.com-domein bevindt. Liran ontdekte echter dat wanneer hij zelf een server opzet en deze laat communiceren als een ‘echte’ Sharepoint-server, hij ook authenticatie-tokens ontvangt.

“Op dat ogenblik kan mijn kwaadaardige webserver, die in het bezit is van jouw private Office 365-token, naar de Sharepoint Online-site van jouw organisatie gaan en daar alles downloaden, veranderen of ermee doen wat hij wil, zonder dat je er ooit achter komt. Het is de perfecte misdaad”, schrijft Liran.

Adallom heeft ook een proof-of-concept-video van de hack gemaakt.

Microsoft heeft patch
Microsoft heeft al gereageerd op de kwetsbaarheid in een zogenaamd security bulletin. Ook daarin wordt bevestigd dat “een aanvaller die deze kwetsbaarheid uitbuit, toegangstokens kan verkrijgen waarmee de huidige gebruiker op een Sharepoint- of andere Microsoft Office-server kan geauthentiseerd worden.”

Liram wordt in het document ook bij naam genoemd.

Patches voor de kwetsbaarheid werden eerder deze maand door Microsoft uitgebracht tijdens zijn maandelijkse Patch Tuesday

Advertentie