Martijn Klerks heeft een beveiligingslek binnen Microsoft 365 ontdekt!

Onze collega Martijn Klerks heeft tijdens zijn dagelijkse werkzaamheden een beveiligingslek binnen Microsoft 365 ontdekt. Hij is zich hierin gaan verdiepen en probeerde zichzelf toe te voegen aan een aantal groepen binnen Microsoft 365. Uiteindelijk lukte dit ook nog. Met andere woorden: Binnen de tenant waarin je werkzaam bent kun kon jij jezelf toevoegen aan verzendlijsten van bijvoorbeeld directieleden.

Hoe kwam Martijn de bug tegen?

Tijdens de dagelijkse werkzaamheden was Martijn aan het testen voor een medewerker. Vervolgens kwam hij uit op een stukje rechtenstructuur binnen het Outlook adres boek. Vervolgens heeft Martijn geprobeerd zichzelf toe te voegen aan een aantal groepen en verzendlijsten.

Het probleem

Toen Martijn zichzelf wou toevoegen aan een aantal groepen/verzendlijsten kwam een duidelijke error: “Je bent niet gemachtigd om deze handeling uit te voeren”. Toen is Martijn iets verder gaan graven en heeft hij wat combinaties geprobeerd tot dat Outlook vast liep. Hierna werden de aanpassingen toch automatisch toegepast. Na een half uur ontving Martijn opeens gevoelige e-mails vanuit het bestuur. Na nog een controle bleek hij dus toch wel toegevoegd te zijn.

Welke vervolgstappen heeft Martijn ondernomen

Martijn zegt hierover het volgende: ‘’Ik heb dit probleem zover mogelijk getest. Kan ik anderen toevoegen, kunnen anderen zichzelf toevoegen, kan ik mijzelf of anderen verwijderen?”

“Het antwoord was spannend genoeg: JA! Dit kon ik allemaal zonder bevoegdheden. Daarna heb ik dit getest binnen een andere office omgeving met dezelfde resultaten van dien. Dit heb ik allemaal gedocumenteerd en vervolgens ingediend bij MSRC (Microsoft Security Response Center). Microsoft heeft dit opgenomen als een P2 beveiligingsfout. P1 is critical en p2 is severe, p4 is de laagste categorie.” De bug is inmiddels volledig opgelost door Microsoft. Ze zijn hier ongeveer een week mee bezig geweest.

Wat hadden de gevolgen kunnen zijn als de beveiligingslek niet was gevonden?

Als dit de wereld in was gegaan, dan had dit kunnen worden gebruikt door hackers om gevoelige informatie te achterhalen vanuit de organisatie. Dit kan vervolgens weer leiden tot datalekken. Vanuit Puur ICT zijn wij daarom ook erg trots op onze collega Martijn Klerks.

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.