22:21
24/4/2014

* Yammer zhackowany

Jak pisze nasz czytelnik Andrzej:

Yammer, to taki Facebook dla firm enterprise, kupiony przez Microsoft w 2012. Obecnie jest dostępny m.in. w pakiecie dla osób wykupujących Office 365 w niektórych planach usług. Konta użytkowników domenowych wraz z określonymi atrybutami jak imię, nazwisko itp. mogą być synchronizowane z domeny Active Directory do Yammera. Do tego można dołożyć SSO federując Yammer z dowolnym IdP, np. Microsoftowym ADFS, tak aby użytkownicy uwierzytelniali się za pomocą swoich poświadczeń korporacyjnych.

W tym miejscu, przy moich testach okazało się, że można w nieautoryzowany sposób, znając wyłącznie e-mail ofiary oraz bez względu w jaki sposób założyła sobie ona konto na Yammer (czy to ręcznie jako prywatne konto, czy przez synchronizację swojego konta z Active Directory, czy wykorzystując provisiong konta przy SSO), bez znajomości jej hasła do Yammera, można zmienić jej: imię, nazwisko, opis , numer telefonu. W ślad za tą zmianą, cała aktywność tej osoby – wszystkie posty, polubienia, etc, będą wyświetlone jako imię i nazwisko wymyślone przez atakującego. Wyobrażacie sobie dowolną zmianę danych konta Billa Gatesa? Ja też nie.

Problem odkryłem 01.03.2014, 02.03.2014 zgłosiłem do Microsoft, wczoraj dostałem odpowiedź o naprawieniu problemu, co też osobiście potwierdziłem. Opis w wersji ENG, wraz z filmikiem PoC zamieściłem na blogu

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.


6 komentarzy

Dodaj komentarz
  1. props

  2. Dlaczego cytujecie tekst a nie wstawiacie zrzutu ekranu? Skopiowany tekst jest mniej wiarygodny, bo na zrzutach ekranu to na 100% prawdziwy! A do tego latwiej odczytac…

    • Cytujemy list, ktory przyszedl do redakcji.

    • @b373lgeuse
      1. Indeksowanie w google
      2. Nie ma “pikselozy” przy powiększeniu
      3. Czytniki ekranowe
      4. Screenshot też można spreparować

      Droga Redakcjo, popieram cytowanie zamiast zrzutów ekranu!

    • Szczerze mówiąć, nawet nie wiem z czego miałby być zrzut ekranu…

    • zrzut skanu listu

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: