Veröffentlicht inDigital Life

Microsoft Azure: Gravierende Sicherheitslücke entdeckt – sie öffnete Tür und Tor zu Millionen Nutzerdaten

Avatar photo von Amelie Scheller

Sicherheitsforschende haben eine gravierende Schwachstelle in Microsofts Cloud-Dienst Azure entdeckt. Etliche Userdaten waren dadurch angreifbar.

Microsoft Azure
© Postmodern Studio - stock.adobe.com

Leben ohne Google: 6 Alternativen für sicheres Surfen

Ist Google wirklich die sicherste und beste Internetsuchmaschine? Hier sind 6 Alternativen für alle, die Ihre Daten noch besser schützen möchten.

Mit Microsoft Azure steht dir ein Cloud-Dienst zur Verfügung, über den du etwa die Office 365-Produkte nutzen kannst. Doch auch für interne Prozesse und Modifikationen nutzt man die Schnittstelle. Diese Doppelverwendung kann jedoch auch zu Problemen führen, wenn sich so Dritte kinderleicht einen Zugang hinter die Kulissen aneignen können. Einem Team aus Sicherheitsforschenden ist das gelungen – nun erklären sie, wie erschreckend leicht der „Hack“ vonstatten ging.

Microsoft: Azure-Doppelnutzung hat einen Haken

Die Sicherheitsforscher von Wiz haben sich vorgenommen nach anfälligen Multi-Tenant-Anwendungen Ausschau zu halten. Dabei haben sie Microsoft Azure ins Visier genommen. Der Cloud-Dienst ermöglicht die Nutzung von diversen Anwendungen – simpel und sicher über die Cloud. Allerdings gibt es hier einen Haken: Mit der richtigen Webadresse und einem einfachen Azure-Konto kann man sich augenscheinlich auch in interne Systeme und Datenbanken von Microsoft einloggen.

Bei ihrer Untersuchung wurden die Forschenden schnell auf die Webadresse bingtrivia.azurewebsites.net aufmerksam. Das erschreckende Detail: Hier sollten sich Dritte nicht ohne gesonderte Accounts oder Verifizierungen einloggen können. Allerdings gelang das den Forschenden mit den eigenen Anmeldedaten ohne Hürden.

Hinter der Adresse verbarg sich nicht Geringeres als das Content-Management-System (CMS) von Bing – also der hauseigenen Microsoft-Suchmaschine. Hier stießen die Forschenden also mit wenigen Klicks auf einen heiligen Gral für Cyberkriminelle. Nicht nur ließen sich über das CMS Suchergebnisse verändern. Auch Webseiten mit Schadcode hätten die Forschenden so kinderleicht an erster Stelle bei der Bing-Suche platzieren können. Mithilfe entsprechender Software hätte man so Anmeldedaten und vieles mehr abgreifen können.

Bing mit 1 Milliarde Suchanfragen im Monat

Auch wenn Bing im Vergleich zu Google wenige Userinnen und User hat, sind es doch immerhin eine Milliarde Suchanfragen pro Monat. Die Forschenden machen daher auf die Tragweite der Sicherheitslücke aufmerksam: „Ein böswilliger Akteur mit demselben Zugriff hätte die beliebtesten Suchergebnisse mit derselben Nutzlast kapern und sensible Daten von Millionen von Benutzern preisgeben können.“

Sie selbst haben (ungefährlichen) Code in die Ergebnisse eingespielt und waren so etwa theoretisch in der Lage User*innen-Daten von Microsoft 365-Accounts zu stehlen. Darunter ganze Dokumente, E-Mail-Listen und vieles mehr. Allerdings haben die Expert*innen von Wiz ihre Änderungen rückgängig gemacht und ihre Ergebnisse mit Microsoft geteilt. In Rekordgeschwindigkeit behob man die Schwachstelle, sodass die interne Azure-Cloud nun vor Fremdzugriffen sicher ist.

Quelle: Wiz

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.