400 miljoen Office 365-accounts waren kwetsbaar voor hack

Een verkeerd geconfigureerd subdomein van Microsoft lijkt de accounts van 400 miljoen Office 365-gebruikers blootgesteld te hebben aan een mogelijke overname. Dat melden veiligheidsonderzoekers, die erachter kwamen dat Microsoft een subdomein van Office.com niet goed beveiligd had.

De fout werd ontdekt en gemeld door de Indiase veiligheidsonderzoeker en Microsoft-bughunter Sahad Nk. Hij kwam erachter dat het subdomein success.office.com niet goed ingesteld was en dat daar niet de juiste maatregelen genomen waren. Daardoor konden alle gegevens die via het domein verliepen onderschept worden.

Misleiden subdomein

De site TechCrunch meldt dat Nk ertoe in staat was om verkeer dat via het subdomein liep naar een externe server om te leiden. Daardoor was hij er relatief eenvoudig toe in staat om alle gegevens die via het subdomein verliepen te onderscheppen. Daarbij kon hij zijn eigen Microsoft-account gebruiken om het subdomein over te nemen.

Doordat Nk daartoe in staat bleek, werd ook meteen een fout blootgelegd in de OAuth-checks van Microsoft. TechCrunch meldt dan ook dat de Microsoft Office, Store en Sway-apps misleid konden worden en dat geauthenticeerde login-tokens naar het domein van Nk verzonden werden. De fouten werden aan Microsoft gemeld, dat ze meteen opgelost heeft. Microsoft heeft Nk dan ook de bug bounty betaald voor zijn werk.

Al opgelost

Door de problemen werden alle Office 365-accounts blootgesteld aan een mogelijke overname. Het ging ook om zakelijke accounts. Daarbij werden ook e-mails, documenten en andere bestanden blootgesteld aan de problemen. Maar ondertussen is het probleem al opgelost en lijkt het erop dat niemand de fouten misbruikt heeft.

De bug werd in november opgelost, bevestigt Microsoft. “Het Microsoft Security Response Center heeft de zaak in November 2018 opgelost.” Daarmee is het probleem dus ook voorbij en zijn er geen accounts meer in gevaar. Microsoft hoefde voor het oplossen van de problemen enkel een aantal domeinverwijzingen te wijzigen.