Partner Center

Die Schwachstelle betrifft das Microsoft Partner Center, die zentrale Online-Plattform, über die Microsoft-Partner ihre Geschäftsbeziehungen, Konten und Dienste verwalten. Ursache ist eine fehlerhafte Zugriffskontrolle: Die Anwendung prüft an einer entscheidenden Stelle nicht ausreichend, ob ein Zugreifender überhaupt zu einer Aktion berechtigt ist. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Anmeldung seine Rechte ausweiten und sich Berechtigungen verschaffen, die ihm eigentlich nicht zustehen. Da die Lücke ohne vorherige Authentifizierung über das Netzwerk ausgenutzt werden kann, ist die Hürde für einen Angriff niedrig. Mit den unrechtmäßig erlangten höheren Rechten kann ein Angreifer auf Funktionen und möglicherweise Daten zugreifen, die normalerweise privilegierten Konten vorbehalten sind. Betroffen ist die cloudbasierte Partner-Center-Plattform selbst, sodass alle Nutzer dieses Dienstes dem Risiko ausgesetzt sind.