パスワードを忘れた? アカウント作成
12767524 story
バグ

Microsoft、Office 365の脆弱性を報告から7時間で修正していた 19

ストーリー by hylom
クラウドならでは 部門より
headless 曰く、

Office 365のSAML(Security Assertion Markup Language)サービスプロバイダーにクロスドメイン認証のバイパスが可能な脆弱性が発見されたのだが、Microsoftでは報告から7時間以内に対策を行い、更新をロールアウトしたそうだ(BetaNewsThreatpostTechRadarSoftpedia)。

脆弱性を発見したのは、スロベニア・Šola prihodnosti MariborKlemen Bratec氏とギリシャ・Greek Research and Technology Network (GRNET)のIoannis Kakavas氏。Šola prihodnosti Mariborの提供するAAI365ソリューションを用い、Office 365をGRNET AAI Federationのサービスプロバイダーとして追加しようとした際に気付いたという。

問題はOffice 365のSAML 2.0実装に関するもの。認証時のチェックが適切に行われないため、攻撃用のOffice 365ドメイン上で作成した攻撃対象ドメインのユーザーアカウントを使い、攻撃対象ドメインにログイン可能となる。

SAMLはクロスドメインでのシングルサインオンが主な用途で、Office 365のシングルサインオンでSAMLはあまり使われていないため、影響は小さいと当初考えられていた。しかし、SAML 2.0メッセージがWS-Trustメッセージに変換されるため、Active Directory Federation Services(フェデレーション)を使用するすべてのドメインにも同じ方法で攻撃できることが判明した。

Office.comで導入事例として紹介されている企業をBratec氏とKakavas氏が調べたところ、日本航空やシカゴ市、ジョージア州立大学などでフェデレーションが使われていることが判明したという。導入事例で紹介されている以外にも、Microsoftを含む多くの企業でフェデレーションの使用が確認されたとのこと。

Bratec氏とKakavas氏が脆弱性を発見したのは昨年12月。詳細を確認後、1月5日にMicrosoftへ報告したところ、その日のうちに対策がとられたという。2月24日には情報の公開を許可されており、2人は詳細を共同で記事にまとめ、4月27日にそれぞれのブログへ投稿している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年05月02日 19時20分 (#3006735)

    修正、内容確認
    テストケース追加、確認
    (影響のある範囲への)テスト実施
    結果の確認
    リリース作業
    が7時間でできるってのもすげえなあ
    あるいは手抜きか

    • by marimoo (46364) on 2016年05月03日 14時09分 (#3007030)

      最初の二つ以外は自動化されているはず。

      親コメント
    • by Anonymous Coward

      色々なハードウェアで動くOSのパッチと違ってOffice 365は自社で環境を掌握出来ているので検証は格段に楽でしょうね

    • by Anonymous Coward

      なんだかんだで金とってるだけあるよ
      やるべきことは最低限やってるもん

      某日本最大手企業の製品とか金だけは一人前にとってるくせに逃げ道作りは精巧で導入手順書からゴミだったりで超えられない壁を感じる

    • by Anonymous Coward

      あの規模のアプリなら7時間「も」掛かるのは仕方ないか~と思った。
      別にMS系のは、使いこなせば30分で修正リリースなんてのもそんなに難しくない。
      どこかは言えんがトラブル内容から即修正箇所判明で五分でリリース可能にしてた。

      問題は会社組織と仕事の進め方が硬直化してるとこはそれについてけない(理解出来ない&する気無い)点なんだな。

  • by Anonymous Coward on 2016年05月02日 16時09分 (#3006633)
    上司への説明に1時間
    上司の上司への説明に2時間
    最終決裁に4時間かかった

    いや、国内某SIerの話ですよってば。
  • by Anonymous Coward on 2016年05月02日 23時41分 (#3006853)

    ほんと、マイクロソフト代わりましたよね。
    1日に10回以上、リリースしているといわれても、信じてしまいそう

    悪の帝国のイメージを知る人が、おじさんばかりになる日も近いのかも(゚∀゚)

    • by Anonymous Coward

      俺オッサンだけど、悪の帝国のイメージとか別にないなぁ。
       
      もしかしてがんばれゲイツ君(懐)とかに感化された口ですか?

    • by Anonymous Coward

      モバイル戦略に失敗してから結構かわりましたねえ
      仮想化サーバでLinuxゲスト正式サポートやら
      VitualStudioのマルチプラットフォーム化やら
      あのでかい図体でようやるわ、とも

      • by Anonymous Coward

        Live構想がいつからあるか知らないニワカですか?

        • by Anonymous Coward

          すみません。MSを批判してないと死んでしまうんです。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...