Poche righe di codice consentono a qualunque utente di ottenere i diritti di amministratore.

Una falla che permette a qualunque utente di Office 365 di ottenere i privilegi di Amministratore e controllare l'intero ambiente aziendale non è certo un problema da prendere sottogamba.

 

La scoperta di tale bug è avvenuta lo scorso 16 ottobre a opera di Alan Byrne, dipendente di Cogmotive, il quale ha immediatamente provveduto ad avvisare Microsoft.

Byrne si è accorto della falla durante il proprio lavoro di sviluppo, scoprendo che con l'introduzione della Wave 15 di Office 365 Microsoft aveva introdotto anche una vulnerabilità che, se sfruttata, permetteva di portare un attacco tramite le tecniche del Cross Site Scripting (XSS).

In pratica il bug consisteva nella mancata validazione, da parte del Portale di amministrazione di Office 365 dei nomi utente e delle informazioni sulla posta elettronica attinti da Windows Azure Active Directory.

Byrne ha scoperto che era possibile modificare le informazioni mostrate nel campo Display Name in maniera tale da includere alcune istruzioni attendendo che un amministratore (senza nemmeno dover cliccare su qualcosa, ma semplicemente aprendo la pagina) le eseguisse: così è riuscito a creare un nuovo account con i permessi di amministrazione. Il lato positivo di tutta questa storia è che, almeno per quanto riguarda questo bug, ci si può rilassare: lo scorso 19 dicembre Microsoft lo ha corretto.

La notizia s'è diffusa soltanto adesso perché solo a metà gennaio Alan Byrne ha ricevuto da Microsoft l'autorizzazione a rivelare l'esistenza della falla e i dettagli dell'exploit.

Informativa Privacy

Consulenza Informatica Srl Via Giorgione, 20 - 35020 Albignasego (PD) - Italy Tel. +39 049 8962252 // Fax +39 049 8968103 // P.Iva 03247240280.

Questo sito utilizza i cookies, puoi accettare i nostri cookies cliccando il bottone "Accetta informativa"