Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Kolosální chyba Office365 není vlastně až tak kolosální
květen 02
Kolosální chyba Office365 není vlastně až tak kolosální

Dneska jsem dostal info o tomhle článku dokonce několikrát: http://www.root.cz/clanky/postrehy-z-bezpecnosti-kolosalni-chyba-microsoftu. Na první pohled se to zdá být jasně princpiální úder na bezpečnost služby Office365. Ale není.

Mě samozřejmě nemůže nikdo obvinit, že bych tady chtěl propagovat Office365 z bezpečnostního pohledu. Systém "dejme všechna firemní data do ruky neomezenému počtu indů" mě osobně nevyhovuje. Ale v tomhle případě o to nejde.

Na první pohled to vypadá, že to je díra, která ovlivnila "všechny" společnosti, a z toho má plynout ona kolosálnost. Ale ta tam ve skutečnosti není. Bezpečnostní díry se vyskytují všude a vždy. Tenhle incident je potřeba brát z pohledu každého konkrétního zákazníka. Z pohledu hackera je to samozřejmě paráda, dostat se díky jedné díře k datům více společností. Ale ne z pohledu samotné firmy, která má v Office365 data. Každé jedné firmě může být jedno, že hacker ukradne data i ostatním firmám.

Pro jednoho každého zákazníka to nepřináší větší rizika, než mít svoje data přístupná ve své síti, při stejném zabezpečení vzdáleného přístupu.

Pokud to řekneme zobecněně, tak tady byla využita chyba v technologii ověřování uživatelských účtů. Šlo o přístup z internetu na data společnosti a ověřování mělo chybu. Jednalo se o jedno-faktorové ověření heslem. Technologie ověřování byla pouze jedna (SAML). Stačila tudíž jediná díra k tomu, aby se účtočník dostal na data.

Stejná rizika by měla firma, kdyby měla data u sebe doma a umožňovala k nim přístup s jedno-faktorovým ověřením z internetu přes jedinou ověřovací technologii. Ne?

Proto se taky dělají vícevrstvé ochrany a multi-faktorové autentizace. Například nejprve VPN a teprve potom web, ještě třeba přes reverzní HTTPS proxy. Nebo nejprve RD gateway (opět třeba přes HTTPS proxy) a teprve potom RDP. Protože každá tahle technologie ověřuje uživatele jinak, minimalizuje se tím prostor pro útok. Aby se to povedlo, chyba by musela být ve více technologiích současně.

Pokud navíc tyto vrstvy vyžadují multi-faktorovou autentizaci, opět je o polovinu menší pravděpodobnost incidentu.

Comments

Re: Kolosální chyba Office365 není vlastně až tak kolosální

Takže závěr článku je, že zákazník by byl stejně v prdeli, ať by využil děravej MS systém v cloudu, nebo děravej MS systém na vlastním serveru jo? :)

Borek on 2.5.2016 18:34

Re: Kolosální chyba Office365 není vlastně až tak kolosální

ano, vždycky jde jenom o míru rizika. takže stejně ne-zabezpečený přístup do firmy je stejně děravý.

proto je ho potřeba zabezpečovat pořádně ve více vrstvách.
ondass on 2.5.2016 18:44

Re: Kolosální chyba Office365 není vlastně až tak kolosální

... než děravej jednovrstvej JAKEJKOLIV systém na vlastním klaudu.
ondass on 2.5.2016 18:49

Re: Kolosální chyba Office365 není vlastně až tak kolosální

Při vší úctě, ty v podstatě tvrdíš:

"Chyba v jedno-faktorovém ověřování v Office 365 vlastně až tak závažná, protože není horší než jakékoliv jiné jedno-faktorové ověřování".

Really?
Ladislav Zezula on 3.5.2016 8:04

Re: Kolosální chyba Office365 není vlastně až tak kolosální

šůr, jak je závažnější, z pohledu jedné firmy, chyba v ověřování ke svým datům, jestliže jsou ta data uvnitř firmy, nebo někde v klaudu?

není mě, jako majiteli dané firmy, jedno jestli jsem přišel o data v klaudu, nebo o data u sebe v síti?

Pokud jsem nedbal na vícevrstvou bezpečnost do dneška u sebe, tak nemám proč obviňovat Office365, že to má taky jednoúrovňové.
ondass on 3.5.2016 8:45

Re: Kolosální chyba Office365 není vlastně až tak kolosální

Nech sa na mna p. Sevecek nehneva ale nechce sa mi verit ze by takato ista diera bola tak isto bagatelizovana keby sa jednalo o poskytovatela ineho ako Microsoft.
A dalsi rozmer vidim v tom, ze ak som firma a poviem si ze sa k svojim datam chcem postavit zodpovedne v zmysle, ze nemam know-how na zabezpecenie file cloudu na firemnych serveroch a preto si za to zaplatim a zverim to cele do ruky profikom z Microsoftu tak by som cakal nejaku pridanu hodnotu aj vo forme zabezpecenia kojich dat ked si za to platim a nie len konstatovanie, ze sak u seba by som to mal rovnako derave.
wtf??? on 3.5.2016 8:53

Re: Kolosální chyba Office365 není vlastně až tak kolosální

ale já vůbec nebagatelizuji tu chybu samotnou. Je jasné, že to je chyba jako prase. Ale chyby jako prase se prostě objevují všude, ve všech systémech. Každému systému, i programům od MS samozřejmě vychází ročně minimálně několik pekelných děr.

Pokud se chci chránit, tak musím mít více vrstev ochrany. A ty například Office365 zřetelně nenabízí. Co si doma udělám, to mám pod kontrolou.
ondass on 3.5.2016 9:00

Re: Kolosální chyba Office365 není vlastně až tak kolosální

jako příklad toto:

jaký je rozdíl dnešní chyby na office365 oproti Nov2014 chybě v knihovně Schannel, která umožňovala remote-code-execution? Slyšeli jste o ní?

A přitom, jestli jste měli tehdy jednovrstvou ochranu, něco jako RDP port forwarding z internetu například, nebo OWA port forwarding přímo z internetu, nebo SharePoint port forwarding přímo z internetu, tak jste měli díru jako prase ve své vlastní infrastruktuře.

A tvrdím, že remote-code-execution je hooodně větší peklo, než díra v ověření business uživatele do konkrétních business dat.
ondass on 3.5.2016 9:24

Re: Kolosální chyba Office365 není vlastně až tak kolosální

Srovnavame tady pouziti exploitu na Schannel s tim, ze si poridim pres blesk penezenku na mesic win server nekde v amazonu, aktivuju trial na office, udelam federaci a budu mit pristup na ucty Microsoft, Vodafone, British Telecommunications plc, Verizon, International Monetary Fund, Royal Dutch Shell, The Daily Mail, Novartis Pharma AG, Pfizer, Toyota Motor North America, Cisco,IBM a dalsich ?

viz. link na rootu v clanku https://bratec.si/security/2016/04/27/road-to-hell-paved-with-saml-assertions.html
Ivo Hlavaty on 3.5.2016 9:42

Re: Kolosální chyba Office365 není vlastně až tak kolosální

nee, nesrovnáváme. Pokud jste hacker, tak tahle situace je pro vás samozřejmě mnooohem příjemnější :-)

ale pokud jste bezpečák firmy Pfizer, když už vám hackeři vybrali vaše vlastní data, není vám úplně jedno, že je vybrali také Cisco? Z pohledu vaší vlastní bezpečnosti je vám jedno, jak jestli někdo okradl Cisco, ne?
ondass on 3.5.2016 10:49

MFA a Office 365

Ale Office 365 ve svých Enterprise plánech MFA (ověřování dalším faktorem) nabízí. Je možné ověřit se SMS, telefonátem, aplikací či kódem z aplikace.

Nechci bagatelizovat, že se určitě jedná o problém. Problém, který byl napraven dříve, než mohl být jakkoliv zneužit.

Ano, Office 365 je platforma lákavá pro útočníky jako celek. Firem zde není málo. Ale na druhou stranu Microsoft se maximálně snaží. Věřím, že pokud jste lákavým cílem jako společnost, je jedno, zda jste v Office 365 nebo lokálním prostředí. Zaútočit na Vás se prostě vyplatí. A to už ve formě technické, nebo že administrátorovi přispěji na novou Octavii. Jen věřte, že to lokální prostředí vás bude stát více zdrojů a sil, než za pár minut zapnout MFA v Office 365ˇ.
Petr Vlk on 3.5.2016 17:13

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments