Antes de que alguno se alarme, tranquilos, Microsoft arregló el “problemita” en apenas siete horas desde que les dieron aviso e hicieron todo el disclosure elegantemente como corresponde, pero la falla podría existir en muchas otras empresas que utilizan logins únicos para sistemas distribuidos en distintos servidores y aplicaciones.
El service provider de autenticación SAML tenía una vulnerabilidad grave que permitía que un atacante pudiese tomar control de la cuenta de prácticamente cualquier usuario de la plataforma y acceder no sólo a sus documentos de office sino a email, archivos y todo en OneDrive.
SAML, Security Assertion Markup Language, es utilizado para poder brindar las credenciales de usuario entre sitios de distintos dominios, pero resulta que el bug encontrado permitía a un usuario con una cuenta de Office 365 incluir usuarios de otro dominio (no propio) y luego tomar control de esa cuenta. El servidor SAML le otorgaba los permisos al atacante y una vez autorizado podía acceder a todo.
El bug encontrado por Klemen Bratec de Šola prihodnosti Maribor y Ioannis Kakavas de Greek Research and Technology Network es muy interesante y está perfectamente detallado en este artículo incluyendo los métodos para realizar el ataque.
Microsoft acusó recibo y reaccionó muy bien al reporte actuando lo más rápido posible e implementando un patch en apenas siete horas. Las empresas que estuvieron expuestas son numerosas y muy importantes, como Japan Airlines, British Airways, la ciudad de Chicago, Microsoft misma, Vodafone, Verizon, Toyota, IBM, Cisco, Intel, Pricewaterhouse Coopers y muchas otras, pero los investigadores no ahondaron más para evitar problemas futuros.
El bug fue encontrado en diciembre, el 5 de enero fue informado a MSFT y recién ayer hicieron público el tema y adeás honraron el trabajo de estos investigadores con el programa de recompensas que tienen actualmente que sirve para estos casos.
Si estás interesado en el tema seguridad online, este es un genial caso para estudiar.