Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Une vulnérabilité dans Office 365 permet un accès administrateur non autorisé

20 Janvier 2014 , Rédigé par nicko




Il a été récement découvert par cogmotive une grave vulnérabilité xss dans Microsoft Office 365, cette faille a été détectée pendant un audit de sécurité de leur propre Microsoft Office 365 Reporting Application.

Une vulnérabilité dans Office 365 permet un accès administrateur non autorisé

Toute personne avec une boîte aux lettres dans une entreprise utilisant Office 365 pourrait exploiter cette vulnérabilité pour obtenir les autorisations administratives complètes sur Office 365 et modifier l'environnement de l'ensemble de leur entreprise à l'aide de quelques lignes de JavaScript.

Le salarié malveillant aurait maintenant l'accès au Courrier électronique et au contenu de SharePoint de chaque salari
é dans l'entreprise ainsi que la capacité d'apporter des modifications de configuration à l'environnement.

Cette courte vidéo montre l'exploit dans l'action ou vous pouvez continuer de lire pour une explica
tion plus détaillée.

divulgation responsable

Évidemment, c'est une question de sécurité très sérieuse et je immédiatement signalé à Microsoft comme un bon WhiteHat le 16 Octobre 2013. Nous avons partagé toutes nos recherches avec l'équipe de sécurité de Microsoft qui bientôt c
onfirmé le problème.

Il a été décidé le 19 Décembre 2013, et ils m'ont gentiment permis de détail mes conclusions publiquement dans cet article.

La vulnérabilité

Tous les développeurs de sites Web sont utilisés pour la manipulation correctement entrée directe de l'utilisateur, mais souvent à tort supposent que les informations extraites d'un service 3ème partie est "sûr" d'être directement sortie vers le navigateur.

Au Cogmotive, nous testons régulièrement notre application pour s'assurer qu'il peut gérer les malveillants provenant de la plate-forme Microsoft et d'autres fournisseurs d'information. C'était lors de la préparation d'un de ces tests que j'ai découvert la vulnérabilité dans le portail d'administration de Microsoft Office 365.

portail d'aministration de Microsoft office 365

portail d'aministration de Microsoft office 365

Il est à noter que cette faiblesse semble avoir été introduit récemment dans la nouvelle version(15) d'Office 365. Si elle existait dans la version précédente vague 14, elle aurait été remarqué lors de nos tests précédents.

L'exploit une simple, une vulnérabilité Cross Site Scripting dans le portail d'administration de Microsoft Office 365. Le portail n'éfface pas correctement les informations de boîte aux lettres qu'il a lu de Windows Azure Active Directory et des utilisateurs.

Dans ce cas, il est possible de modifier le nom d'affichage d'un compte d'utilisateur d'inclure une charge utile XSS qui a ensuite été exécuté dans le navigateur d'un administrateur lorsque ils ont vu une liste de tous les utilisateurs du portail Office 365.

L'Exploit

Le portail Office 365 est juste comme n'importe quelle autre application Web et même utilise la bibliothèque jQuery. Cela a relativement facile de concevoir une chaîne XSS qui a chargé un fichier JavaScript à partir d'un serveur web distant et exécuté son contenu.

Par défaut, un utilisateur normal "non-administrative" peut changer leur nom d'affichage dans Outlook Web Access, l'application de webmail Office 365.

Une vulnérabilité dans Office 365 permet un accès administrateur non autorisé

Je me suis connecté à webmail comme un utilisateur standard et remplacé mon nom d'affichage avec la chaîne de caractères suivante.

Une vulnérabilité dans Office 365 permet un accès administrateur non autorisé

Vous pouvez voir la fonction jQuery getScript qui charge le fichier JavaScript malveillant et exécute une fonction appelée c.

Dans mon exemple, je charge le fichier de mon ordinateur local, mais il pourrait tout aussi bien être hébergé sur un serveur Web, n'importe où dans le monde.

Maintenant que mon nom d'affichage contient la charge utile, nous avons juste besoin d'attendre qu'un administrateur se connecter au portail Web pour prendre le relais sur l'administration de l'utilisateur habituel. L'administrateur n'a pas à cliquez sur les liens pour la charge utile à exécuter, ils ont simplement à charger la page de gestion des utilisateurs.

La plupart des administrations des utilisateurs Office 365 se fait via ce portail, afin de ne pas prendre trop de temps avant qu'un administrateur se connecte

Une vulnérabilité dans Office 365 permet un accès administrateur non autorisé

Le premier volet, chargé en fonction c, crée un nouvel utilisateur de l'administrateur global dans l'environnement Office 365 de la société. Dans mon exemple, cet utilisateur est appelé Hacker Admin, mais il pourrait tout aussi bien être appelé quelque chose d'un peu moins évident et serait difficilement détectabe dans Active Directory d'une entreprise avec 10 000 employés.

La fonction ajoute un iFrame qui est de zéro pixels de large et zéro pixels de haut sur la page Web du Bureau d'administration de 365 office. Il est effectivement invisible à l'administrateur dont le compte est attaqué.

L'intérieur de cette iFrame que nous chargeons dans la page Créer un utilisateur et utilise jQuery pour remplir tous les champs du formulaire, sélectionnez le type de compte administratif souhaité et la demander que le mot de passe initial soit envoyé à mon adresse e-mail.

Une vulnérabilité dans Office 365 permet un accès administrateur non autorisé

En quelques secondes, de cette fonction en cours d'exécution, je reçois un e-mail automatique de Office 365 qui m'annonce le nom d'utilisateur et mot de passe de mon compte administrateur nouvellement créé. Je peux maintenant vous connecter à Office 365 en utilisant ce compte et se déchaînent.

La deuxième partie de ma charge, chargé en fonction d, couvre essentiellement mes titres. Il charge un autre zéro par zéro pixel iFrame mais modifie la place sur mon compte utilisateur pour modifier le nom d'affichage qui revient à sa valeur d'origine.

Au moment où l'administrateur voit la charge utile XSS, il est trop tard et il a déjà été exécuté. Si l'administrateur rafraîchit la page d'administration ou clique sur le compte de l'utilisateur pour approfondir le nom de l'affichage apparaît normalement.

Conclusion

Il s'agit d'un exemple parfait d'une très simple exploit qui a une énorme possibilité de causer des milliards de dollars de dommages de dollars. Comme nous sommes de plus en plus dans le nuage, nous devons être de plus en plus conscients des risques de sécurité potentiels.

Il ya quelques grandes entreprises, maintenant qui c'aide de Microsoft Office 365 et je sais qu'ils seront très intéressés d'entendre parler de ces types d'exploits. Personne ne sait si quelqu'un de beaucoup plus malveillant a découvert ce bug avant moi et la utilisé à son profit par l'extraction d'informations sensibles.

C'est pour cette raison que de nombreux logiciels et plates-formes fournisseurs offrent maintenant des récompenses financières pour les personnes qui signalent n'importe quel type d'exploit directement lié à l'entreprise. Cela permet que le problème soit réparé et protège leurs clients avant que les détails soit rendus publics.

Microsoft possède également l'un de ces programmes, mais il ne couvre que les vulnérabilités détectées dans Windows 8.1 ou Internet Explorer 11. Aucune prime n'ait versée pour les exploits découverts dans l'une de leurs autres applications, y compris les plates-formes d'entreprise utilisés par la plupart des grandes entreprises dans le monde d'aujourd'hui.

Microsoft, à leur crédit, a fait un très bon travail en fixant ce problème rapidement et a efficacement communiqué avec moi pendant tout le processus. J'ai entendu des histoires d'horreur de gens qui ont signalé des bugs à d'autres sociétés qui ne laissent peu de choix que de divulguer publiquement la question avant qu'il ne soit fixé.

Je vais continuer à utiliser et de recommander Microsoft Office 365 pour nos clients, mais cela met clairement en évidence que, tout comme dans n'importe quel environnement informatique, les administrateurs de cloud ont besoin de vérifier régulièrement leur sécurité et les journaux pour tout comportement bizarre.

Source: cogmotive

Partager cet article

Repost 0

Commenter cet article

Nasri 21/06/2016 16:22

Bonjour. Je viens de finir ma formation sur http://www.alphorm.com/tutoriel/formation-en-ligne-office-365 pour apprendre à manipuler Office 365 et je tiens à vous remercier d’avoir présenté ses vulnérabilités.