Fout in Microsoft-dienst Entra ID ontdekt
Dirk-jan Mollema heeft een ernstige beveiligingsfout ontdekt in de Microsoft-dienst Entra ID, die een cruciale rol speelt in de authenticatie voor diverse Microsoft-producten, zoals Azure en Microsoft 365, meldt Nieuws Impuls.
Mollema kon met een alternatieve inlogmethode namens andere gebruikers handelingen uitvoeren, wat niet bedoeld was voor extern gebruik. “Deze methode was eigenlijk voor intern gebruik door Microsoft zelf, maar ik kon het ook toepassen,” aldus Mollema.
De ontdekking van deze inlogmethode onthulde een grote kwetsbaarheid: het systeem controleerde niet of een gebruiker daadwerkelijk toegang zou moeten krijgen. Dit stelde hackers in staat om ongehinderd binnen te dringen in de Microsoft-systemen van bedrijven, met toegang tot gevoelige gegevens zonder sporen achter te laten.
Gevaren van ongeautoriseerde toegang
Een kwaadwillende zou bijvoorbeeld kunnen inzien wie er binnen een organisatie werkt en hun persoonsgegevens kunnen stelen. Mollema legt uit: “Je kunt in principe alle e-mails en bestanden van een bedrijf in handen krijgen, inclusief persoonsgegevens.”
Mollema meldde de kwetsbaarheid direct aan Microsoft: “Dit is denk ik het snelste rapport dat ik ooit geschreven heb. Ik wist gelijk: dit moet zo snel mogelijk opgelost worden. Dus binnen twee uur heb ik het gemeld.”
Oplossing binnen drie dagen
Microsoft nam de melding serieus en verhelpte het probleem in recordtijd. Binnen drie dagen werd er wereldwijd een oplossing uitgerold, wat volgens Mollema zeer snel is voor een bedrijf van deze omvang. De ernst van de fout werd door Microsoft beoordeeld met de maximale score van 10.
Beloning voor ontdekkers van beveiligingsproblemen
Ontdekkers van veiligheidsproblemen bij Microsoft kunnen rekenen op een beloning, ook wel bekend als bug bounty, tot 100.000 dollar (ongeveer 85.000 euro). Mollema heeft aangegeven dat hij een bug bounty ontving, maar de exacte hoogte daarvan wil hij niet prijsgeven.
Dankzij Mollema’s melding kon Microsoft het probleem snel dichten. Volgens hun onderzoek is er geen aanwijzing dat de kwetsbaarheid eerder is misbruikt. “Microsoft heeft onderzocht of er misbruik heeft plaatsgevonden, en zij zeggen dat ze geen misbruik hebben gezien. Ik ga er vanuit dat dat klopt, maar helemaal zeker kun je het nooit weten,” zegt Mollema.
Bedrijven die gebruikmaken van Microsoft-diensten hoeven zich momenteel geen zorgen te maken. Mollema bevestigt: “Dit probleem zat echt bij Microsoft. Als bedrijf had je er niks tegen kunnen doen. In principe is er geen actie nodig voor bedrijven, omdat Microsoft dit aan hun kant heeft gefixt.”
De impact van een hack kan groot zijn. Een recente ervaring met datalekken vanuit een medisch laboratorium toont dit aan.
