Vulnerabilità in Office 365

Poche righe di codice consentono a qualunque utente di ottenere i diritti di amministratore.



[ZEUS News - www.zeusnews.it - 22-01-2014]

falla Office 365

Una falla che permette a qualunque utente di Office 365 di ottenere i privilegi di Amministratore e controllare l'intero ambiente aziendale non è certo un problema da prendere sottogamba.

La scoperta di tale bug è avvenuta lo scorso 16 ottobre a opera di Alan Byrne, dipendente di Cogmotive, il quale ha immediatamente provveduto ad avvisare Microsoft. L'articolo continua qui sotto.

Sondaggio
Qual è l'ambiente Linux che preferisci?
Gnome
Kde
Unity
Xfce
Lxde
Cinnamon
Mate
Un altro
Non uso Linux

Mostra i risultati (5713 voti)
Leggi i commenti (25)
Byrne si è accorto della falla durante il proprio lavoro di sviluppo, scoprendo che con l'introduzione della Wave 15 di Office 365 Microsoft aveva introdotto anche una vulnerabilità che, se sfruttata, permetteva di portare un attacco tramite le tecniche del Cross Site Scripting (XSS).

In pratica il bug consisteva nella mancata validazione, da parte del Portale di amministrazione di Office 365 dei nomi utente e delle informazioni sulla posta elettronica attinti da Windows Azure Active Directory.

Sullo stesso tema:
Windows 365 apre l'era del PC in streaming
Aggiornamento urgente per iPhone e iPad
Microsoft e Poste insieme per l'Italia digitale
Office arriva sull'iPhone

Byrne ha scoperto che era possibile modificare le informazioni mostrate nel campo Display Name in maniera tale da includere alcune istruzioni attendendo che un amministratore (senza nemmeno dover cliccare su qualcosa, ma semplicemente aprendo la pagina) le eseguisse: così è riuscito a creare un nuovo account con i permessi di amministrazione. L'articolo continua dopo il video.

Il lato positivo di tutta questa storia è che, almeno per quanto riguarda questo bug, ci si può rilassare: lo scorso 19 dicembre Microsoft lo ha corretto.

La notizia s'è diffusa soltanto adesso perché solo a metà gennaio Alan Byrne ha ricevuto da Microsoft l'autorizzazione a rivelare l'esistenza della falla e i dettagli dell'exploit.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
La televisione in tre dimensioni... (completa la frase)
è la nuova frontiera dell'intrattenimento domestico.
è inutile e in più fa male alla vista.
serve solo a vendere nuovi televisori e decoder.

Mostra i risultati (5227 voti)
Ottobre 2025
n. 4011 del 24-10-2025
Pericolo! Stampante nuova!
n. 4010 del 23-10-2025
Internet delle cose, dobbiamo abituarci alla morte
n. 4009 del 22-10-2025
L'OS di Commodore per gli orfani di Windows 10: OS Vision 3.0, cuore Linux ed estetica retro
n. 4008 del 20-10-2025
Guida autonoma in 60 città italiane: Italia primo laboratorio europeo per i test
n. 4007 del 16-10-2025
Infotainment in auto, nuove regole: i veicoli smart dovranno avere un'autoradio FM/DAB+
n. 4006 del 15-10-2025
Mozilla introduce Firefox VPN: navigazione cifrata nel browser. Privata e gratuita
n. 4005 del 13-10-2025
Windows 11 25H2: debutta il menu Start con layout dinamico e integrazione con lo smartphone
n. 4004 del 10-10-2025
DAZN chiede 500 euro di risarcimento a 2000 utenti già multati per pirateria. E minaccia cause
n. 4003 del 09-10-2025
Energia elettrica: il prezzo cambia ogni 15 minuti. Fasce orario stravolte, la sera costa di più
n. 4002 del 06-10-2025
Clothoff bloccata in Italia: il Garante Privacy ferma l'app che spoglia le persone con la IA
n. 4001 del 03-10-2025
Open Printer, stampante inkjet open source. Cartucce ricaricabili, design modulare e niente DRM
n. 4000 del 01-10-2025
Amazon Prime elimina la prova gratuita in Italia: i giorni di test passano da 30 a 7. E si pagano
Settembre 2025
n. 3999 del 29-09-2025
SPID a pagamento, l'era gratuita è finita: le Poste introducono un canone annuale
n. 3998 del 26-09-2025
YouTube ammette: "Obbligati dall'amministrazione Biden a sospendere certi canali"
n. 3997 del 25-09-2025
Commodore 64 Ultimate convince: boom di vendite, acquisizione anticipata
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 26 ottobre
2024
Intel, la Corte di Giustizia della UE annulla la multa miliardaria
2023
Con X adesso si può chiamare e videochiamare
2022
Sale nella pasta termica? Funziona, ma...
2021
Come uscire dai social network e salvare i propri dati
2020
L'app che “spoglia” le donne: garante privacy apre istruttoria
2019
Google, i domini .new diventano scorciatoie
2018
La SIM che si connette direttamente a TOR
2016
MacBook Pro con pannello OLED touchscreen e supporto a Touch ID
2015
Che bella idea, il DRM sulle immagini JPEG
2014
La batteria che dura vent'anni e si ricarica in due minuti
2013
Il Fatto Quotidiano indaga sulla Coop, che ritira la pubblicità
2012
Il giorno di Windows 8
2011
Nokia World, arrivano i Windows Phone
2010
Sony taglia il prezzo della PSP Go
2009
Google rifà il look alla cartografia
2008
Google accusata di lucrare sul typosquatting
2007
Il meglio dal Forum Internet
2006
Telecom Italia, per ora solo divisioni
2005
Un appello per liberare nove internauti tunisini
2004
Tre anni e l'Adsl non arriva
2002
Un appello agli sviluppatori
2001
Windows XP e i sette nani
Olimpo Informatico


 
web metrics