
Microsoft、Office 365の脆弱性を報告から7時間で修正していた 19
クラウドならでは 部門より
Office 365のSAML(Security Assertion Markup Language)サービスプロバイダーにクロスドメイン認証のバイパスが可能な脆弱性が発見されたのだが、Microsoftでは報告から7時間以内に対策を行い、更新をロールアウトしたそうだ(BetaNews、Threatpost、TechRadar、Softpedia)。
脆弱性を発見したのは、スロベニア・Šola prihodnosti MariborのKlemen Bratec氏とギリシャ・Greek Research and Technology Network (GRNET)のIoannis Kakavas氏。Šola prihodnosti Mariborの提供するAAI365ソリューションを用い、Office 365をGRNET AAI Federationのサービスプロバイダーとして追加しようとした際に気付いたという。
問題はOffice 365のSAML 2.0実装に関するもの。認証時のチェックが適切に行われないため、攻撃用のOffice 365ドメイン上で作成した攻撃対象ドメインのユーザーアカウントを使い、攻撃対象ドメインにログイン可能となる。
SAMLはクロスドメインでのシングルサインオンが主な用途で、Office 365のシングルサインオンでSAMLはあまり使われていないため、影響は小さいと当初考えられていた。しかし、SAML 2.0メッセージがWS-Trustメッセージに変換されるため、Active Directory Federation Services(フェデレーション)を使用するすべてのドメインにも同じ方法で攻撃できることが判明した。
Office.comで導入事例として紹介されている企業をBratec氏とKakavas氏が調べたところ、日本航空やシカゴ市、ジョージア州立大学などでフェデレーションが使われていることが判明したという。導入事例で紹介されている以外にも、Microsoftを含む多くの企業でフェデレーションの使用が確認されたとのこと。
Bratec氏とKakavas氏が脆弱性を発見したのは昨年12月。詳細を確認後、1月5日にMicrosoftへ報告したところ、その日のうちに対策がとられたという。2月24日には情報の公開を許可されており、2人は詳細を共同で記事にまとめ、4月27日にそれぞれのブログへ投稿している。
スピード (スコア:1)
修正、内容確認
テストケース追加、確認
(影響のある範囲への)テスト実施
結果の確認
リリース作業
が7時間でできるってのもすげえなあ
あるいは手抜きか
Re:スピード (スコア:1)
最初の二つ以外は自動化されているはず。
Re: (スコア:0)
色々なハードウェアで動くOSのパッチと違ってOffice 365は自社で環境を掌握出来ているので検証は格段に楽でしょうね
Re: (スコア:0)
なんだかんだで金とってるだけあるよ
やるべきことは最低限やってるもん
某日本最大手企業の製品とか金だけは一人前にとってるくせに逃げ道作りは精巧で導入手順書からゴミだったりで超えられない壁を感じる
Re: (スコア:0)
あの規模のアプリなら7時間「も」掛かるのは仕方ないか~と思った。
別にMS系のは、使いこなせば30分で修正リリースなんてのもそんなに難しくない。
どこかは言えんがトラブル内容から即修正箇所判明で五分でリリース可能にしてた。
問題は会社組織と仕事の進め方が硬直化してるとこはそれについてけない(理解出来ない&する気無い)点なんだな。
プログラマレベルでは対策はできていた (スコア:0)
上司の上司への説明に2時間
最終決裁に4時間かかった
いや、国内某SIerの話ですよってば。
Re: (スコア:0)
たった7時間で決裁って、国内SIerにそんなに優秀なんいるんか!
Re: (スコア:0)
日本の中では優秀なSIer: s/時間/日/g
日本の一般的なSIer: s/時間/ヶ月/g
あたりじゃね?
Re:プログラマレベルでは対策はできていた (スコア:1)
日本の中では優秀なSIer: どうせ言っても分からないので元請けに無断で勝手に修正
Re:プログラマレベルでは対策はできていた (スコア:1)
Re: (スコア:0)
その後、マスコミに嗅ぎつけられて報道されてから、
「何で対策しなかったんだ」と怒られる
Re: (スコア:0)
階層が少なすぎるのも違和感ありまくりです。
ベンチャーかよと。
普通、上司が7階層ぐらいいるんじゃないの?
The devops ? (スコア:0)
ほんと、マイクロソフト代わりましたよね。
1日に10回以上、リリースしているといわれても、信じてしまいそう
悪の帝国のイメージを知る人が、おじさんばかりになる日も近いのかも(゚∀゚)
Re: (スコア:0)
俺オッサンだけど、悪の帝国のイメージとか別にないなぁ。
もしかしてがんばれゲイツ君(懐)とかに感化された口ですか?
Re: (スコア:0)
モバイル戦略に失敗してから結構かわりましたねえ
仮想化サーバでLinuxゲスト正式サポートやら
VitualStudioのマルチプラットフォーム化やら
あのでかい図体でようやるわ、とも
Re: (スコア:0)
Live構想がいつからあるか知らないニワカですか?
Re: (スコア:0)
すみません。MSを批判してないと死んでしまうんです。