24/4/2014
Jak pisze nasz czytelnik Andrzej:
Yammer, to taki Facebook dla firm enterprise, kupiony przez Microsoft w 2012. Obecnie jest dostępny m.in. w pakiecie dla osób wykupujących Office 365 w niektórych planach usług. Konta użytkowników domenowych wraz z określonymi atrybutami jak imię, nazwisko itp. mogą być synchronizowane z domeny Active Directory do Yammera. Do tego można dołożyć SSO federując Yammer z dowolnym IdP, np. Microsoftowym ADFS, tak aby użytkownicy uwierzytelniali się za pomocą swoich poświadczeń korporacyjnych.
W tym miejscu, przy moich testach okazało się, że można w nieautoryzowany sposób, znając wyłącznie e-mail ofiary oraz bez względu w jaki sposób założyła sobie ona konto na Yammer (czy to ręcznie jako prywatne konto, czy przez synchronizację swojego konta z Active Directory, czy wykorzystując provisiong konta przy SSO), bez znajomości jej hasła do Yammera, można zmienić jej: imię, nazwisko, opis , numer telefonu. W ślad za tą zmianą, cała aktywność tej osoby – wszystkie posty, polubienia, etc, będą wyświetlone jako imię i nazwisko wymyślone przez atakującego. Wyobrażacie sobie dowolną zmianę danych konta Billa Gatesa? Ja też nie.
Problem odkryłem 01.03.2014, 02.03.2014 zgłosiłem do Microsoft, wczoraj dostałem odpowiedź o naprawieniu problemu, co też osobiście potwierdziłem. Opis w wersji ENG, wraz z filmikiem PoC zamieściłem na blogu
props
Dlaczego cytujecie tekst a nie wstawiacie zrzutu ekranu? Skopiowany tekst jest mniej wiarygodny, bo na zrzutach ekranu to na 100% prawdziwy! A do tego latwiej odczytac…
Cytujemy list, ktory przyszedl do redakcji.
@b373lgeuse
1. Indeksowanie w google
2. Nie ma “pikselozy” przy powiększeniu
3. Czytniki ekranowe
4. Screenshot też można spreparować
Droga Redakcjo, popieram cytowanie zamiast zrzutów ekranu!
Szczerze mówiąć, nawet nie wiem z czego miałby być zrzut ekranu…
zrzut skanu listu