Kolosální bezpečnostní chyba v Office 365. Skutečně za něco takového chcete ještě platit?

Koncem minulého týdne byla zveřejněna kritická bezpečnostní chyba. Postihovala všechny, kdož používají cloudovou službu Office 365 od Microsoftu a útočník se tak mohl dostat ke všem dokumentům, souborům uloženým na OneDrive a mailům. Chyba se mohla týkat i Vás.

Prostor pro Váš odkaz

Záleží, jaké všechny služby využíváte. Podle webu Office 365 se jedná o něco přes 150 společností, ale může jich být mnohem více. Od těch nejmenších až po velké jako Intel, IBM, British Telecom, British Airways, Cisco, Vodafone atd. Veškeré dokumenty a informace byly díky velmi primitivní chybě dostupné komukoliv, kdo chybu objevil před jejím ohlášením zmíněnými výzkumníky (v tuto chvíli je již opravena).

Chyba se týkala implementace SAML 2.0 protokolu Microsoftem na službě Office 365. SAML sám o sobě není zranitelný a jedná se o velice jednoduchý a bezpečný způsob ověření uživatelů vůči službám či serverům, které nejsou pod Vaší kontrolou a kterým nedůvěřujete natolik, abyste jim svěřili databázi přihlašovacích údajů. Stačí sestavit federaci se službou v Internetu a uživatelé se budou autentizovat jen vůči důvěryhodnému internímu serveru, který se serveru v internetu zaručí, že se jedná o uživatele XYZ. Zjednodušeně řečeno SAML takto funguje.

Takto vypadá typická federace se službami Microsoftu.

Federace se službami Microsoftu

Když se útočník chtěl dostat k Vašim souborům, tak stačilo mít vlastní federaci s Office 365 a vytvořit uživatele (jméno a e-mailová adresa) ve své databázi. Pro názornost použijeme obrázky z odkazovaného článku.

Vaše databáze uživatelů společnosti someorg-victim.com
Databáze uživatelů společnosti someorg-victim.com

Databáze útočníka obsahující i Vaše uživatele (heslo je samozřejmě jiné)
Databáze útočníka obsahující i vaše uživatele (heslo je samozřejmě jiné)

Stačilo tedy navštívit portál Office 365 se SAML ověřením, zadat, že jste uživatel ze společnosti someorg-attacker, tím se ověření svěřilo Vaší databázi, ale vůči ní se pak přihlásíte jako uživatel s e-mailovou adresou @someorg-victim. Díky nedostatečnému ověřování vstupních dat tím máte kompletní přístup ke všem souborům jako uživatel společnosti someorg-victim.com. Jen více takových cloudových služeb se všemi daty na jednom místě…

Zdroj: ROOT.CZ
 

Komentář redakce

Důrazně doporučujeme nepoužívat žádné cloudové služby vyjma těch nutných, webhostingových. Riskujete tím jejich kompromitaci či přímo ztrátu! Používáním cloudů dobrovolně odevzdáváte své soukromí do rukou třetích osob. Pokud však z nějakého důvodu cloud používat musíte (např. nutí-li Vás nevzděla(tel)ný zaměstnavatel), pak za to alespoň neplaťte. Kromě placeného Office 365 použijte např. bezplatný Google Docs (Drive), anebo pokud vůbec nemusíte cloudovat, pak naprosto nejideálnějším a nejspolehlivějším řešením je svobodný (bezplatný) kancelářský balík LibreOffice, jenž používá i naše redakce a který můžeme jen doporučit. No a jako e-mailové řešení neméně spolehlivý a rovněž naprosto bezplatný a otevřený klient Mozilla Thunderbird.

Kolega Michal Mauser doplňuje odkaz na Open365: plnohodnotný balík LibreOffice na webu, jenž může, nebo bude moci, posloužit jako plnohodnotná náhrada proprietárního, komerčního a evidentně i nebezpečného Office 365.

Martin Mojmír

po absolvování základní školy, středního odborného učiliště hotelového provozu a gymnázia se zaměřením na IT a jazyky studoval dále psychologii a speciální pedagogiku. Věnuje se ICT, datové analýze, datové žurnalistice, futurologii, sociologii a ekologii. Prosazuje a popularizuje koncept zdrojové ekonomiky co by udržitelného socioekonomického modelu. Kromě duchdoby.cz provozuje např. dále také projekty jinemedium.cz, mojeretence.cz nebo fórum ETIQ.CZ, z.s. Vlivem nešťastných okolností je Martin od r. 2023 invalidním.

20 Komentáře
Inline Feedbacks
Zobrazit všechny komentáře
Petr
Petr
8 roky před
Reaguje uživateli  Martin Mojmír

Martine a co tak se vrátit od Vašich „názorů“ k diskusi nad fakty ?.

Do doby než se někdo z nás začal zajímat o zcela nepodstatné věci, které se absolutně netýkaly řešeného tématu ta diskuse měla smysl, fakta, šťávu. Já to nebyl, kdo se zajímal o zcela nepodstatné věci a nebudu se k tou snižovat ani nadále i přesto, že bych mohl, vzhledem k Vašim těm výplodům .

Jsou lidi kteří buď prostě umí jít při spolupráci za podstatným, nebo ne a potřebují se vždycky chytit nepodstatných hovadin a hlavně osobních soubojů. Kdy se konečně naučí lidi od tohoto oprostit a nevyhledávat každou možnost toto začít ? A pokud chcete a máte zájem dál komunikovat, tak se to musíte naučit – jít prostě za podstatným a vykašlat se na své jiné potřeby.

Je zajímavé sledovat kontinuitu myšlení lidí, kteří se cítí být vzorem pro změnu pro ty ostatní.

Než někdo příjde z mne nepochopitelného důvodu na potřebu zjišťovat o koho jde, tak je vše OK a dotyčný napíše a hodnotí společnou diskusi na jakékoliv téma takto:

Martin Böhm
09.08.2016, 01:18
„Vidím, že jste velmi uvědomělý, máte a umíte správně třídit informace. A právě proto se shodneme, neboť nekoketujeme nad názory, nýbrž rozebíráme fakta.“

z jiného článku Axiom:
Martin Böhm
04.08.2016, 00:28
„Já moc díky za konstruktivní diskusi. Čím dál méně se dá rozumně s někým pohovořit, stává se z toho pomalu vzácnost. Pokud budete mít např. k jakémukoli tématu zde cokoli na srdci, napište. Hodně štěstí i Vám.“

Pak stačí nevím co se semlít v hlavě, zjistit IP, srovnat xx dalších věcí aby dotyčný měl tutovou jistotu vystavit čistě názorový, velmi nízkopudový psychologický blok pro další diskusi nad tématem a ještě tak nesmyslně to zdůvodňovat odklonem od tématu.

To by mne zajímalo kde jsem se já anonym odklonil od tématu ? a rád bych slyšel fakta, ne názory.

„Ego a anonymní skupina lidí – to je věcí názoru“
– pokud toto napíše člověk, který se odvolává na nějakou příručku, která má mimo jiné velmi dobré pasáže o lidské psychologii, ale jde jen o velmi malou oblast, pak je otázka zda ji studoval dostatečně sám, zda došel i dále např. ke studiu těch xxx odkazovaných studií, které mnohdy jsou jen čistě teoretické práce (s nulovou praxí/realizací v pozadí), nebo ještě lépe zda vůbec o této věci má nějaké dostatečné povědomí z mnoha jiných a lepších zdrojů, resp. zda mu evidentně nechybí v této oblasti prostě znalosti. A proto vždy příjde reakce ve znamení totální blokády další komunikace doložené jen velmi chabými důvody.

Tu změnu, tu zásadní otočku na popud nesmyslného důvodu ve vašem jednání totiž po pozorném čtení těch dvou diskusí pod články zaznamená i běžný člověk, který je nijak zcela nepolíben hlubším povědomím o psychologii jednání lidí atd.

Takže jednoduše a zkráceně :

Vrátíme se k té faktické diskusi a je jedno v kterém článku, nebo budete jen neustále doplňovat své odhalené ego ? A klidně i na to téma proč lidé nechtějí tahat za jeden provaz, podporovat jiné atd.

Co Vás konkrétně Martine navedlo v této diskusi a daném článku k tomu, že máte neskutečně silnou potřebu zde o někom prostě uvádět svůj názor na jeho konání, a je asi možné očekávat i další vytahování k danému tématu naprosto „nezbytných“ informací o něm ? Vždyť Vy tímto konáním popisujete a obnažujete hlavně svou osobu. Uvědomujete si to vůbec ?

Co za pohnutka ve Vás, vás k tomu nutí, žene a pohání – zkuste se otevřít, ale jako uvědomělý člověk ne jako něčím nepochopitelným pravděpodobně zablokovaný kus.

Petr
Petr
8 roky před
Reaguje uživateli  Martin Mojmír

taky odpověď, takže asi dál nemá smysl zde na webu přispívat teď už jen „názory“ namísto původních faktů, když již budu ignorován, i když zpočátku to hodnocení bylo přesně naopak, že ?

Kam vítr, tam plášť….

Jak malé věci rozhodují o chování a způsobu jednání lidí, krásná ukázka poznatků uvedených mimo jiné i té „spásné“ příručce TZM.
Jen doufám, že brzy naše vlákna neprojdou cenzurou (proti které tak bojujete) nebo „zametením“ do koše při případné údržbě/upgradu tohoto webu.

Ještě jste plno věcí nepochopil, a dokud je nepochopíte, nečekejte to samé od jiných lidí na poli jakékoliv spolupráce lidí ať už aktivní či pasivní. A malovat si na růžovo můžete co chcete. Obě skupiny jsou velmi důležité a obě zásadně v době kdy to bude nejvíce potřeba budou pomáhat. Jen to někdo nesmí prostě v sobě blokovat, ať to stojí co to stojí.

Taky pěkný den a „mnoho“ lepších pomocníků pro dosažení cíle.
Budou se s tímto přístupem hledat ještě hůře než jak je tomu v současném hodně špatném stavu.

A Váš obrázek byl zcela mimo mísu, ale to jen tak na okraj 🙂

Petr
Petr
8 roky před
Reaguje uživateli  Martin Mojmír

Nedobrý způsob cenzury příspěvků alá svobodne-radio.cz.
Proti čemu bojujeme to v našem vlastním případě zásadně neplatí ! Že ano.

Už divná je od počátku jen ta kontrola příspěvků adminem, to je opravdu transparentní věc jak víno. Opravdu uvědomělé weby a lidi to dělají opravdu jinak.

Ale zálohy jsou sviňa věc i pro ty na oko největší „transparentní“ lidi na světě.
Stačí jen zveřejnit na správné místo ve správném čase, kdy to dotyčný bude nejméně čekat.

Víte kdy proběhne skutečně změna v lidech ?

>>>>> Až podle toho co jak to, co tak zásadně hlásají budou opravdu v životě i konat. <<<<<<

A tomu nepomůže ani 10 příruček TZM a roky vzdělávání, když prostě člověk nechce, a nechce.

Martine vzpamatujte se ! A tím končím čistota projektu duchdoby.cz jde od této chvíle do kytek

Doporučuji Vám na tu proklatou IP nastavit ban na všechny "super" transparentní aktivity, jedině tak se dostanete do výšin a na výsluní. Že to bude pouze falešné obelhávání hlavně sama sebe, to zjistíte bohužel až mnohem později Martine.

Petr
Petr
8 roky před
Reaguje uživateli  Petr

No možná než hledat programátora zadarmo pro další projekty bude lepší začít s něčím takovým viz odkaz níže, ten člověk má plnou podporu, vyprodáno většinou dopředu a nemusí „žebrat“ o peníze proto aby mohl konat „dobro“ pro jiné.

http://petr-chobot.eu/cs/kalendar-akci-1/a/

A navíc ty lidi ještě „léčí“, naučí je mystiku, pojezdí si po světě apod. – to je pro nás asi vzor jak takové projekty dělat, aby se samy uživily ……. 🙂

tuším, že podobný článek takového dalšího „šamana“ tu už byl někde rozebírán….tuším slunce naděje nebo tak nějak…

A tím zde končím.

Qestament
Qestament
8 roky před

To je ten Petr_NJ co? Ten toho nakecá https://forum.sebesdileni.cz/viewtopic.php?f=104&t=240 , ale sám prd udělá. To je furt stejná pohádka. Klasika troll, filtrovat, ignorovat. 😀