Power Pages

Die Schwachstelle betrifft Microsoft Power Pages, eine Plattform zum Erstellen externer Websites mit Self-Service-Zugang für Nutzer. Sie beruht auf einer fehlerhaften Zugriffskontrolle: Die Berechtigungen werden nicht korrekt durchgesetzt, sodass die Steuerung der Benutzerregistrierung umgangen werden kann. Ein nicht berechtigter Angreifer kann die Lücke über das Netzwerk ausnutzen, ohne über gültige Zugangsdaten zu verfügen, und sich dadurch höhere Berechtigungen verschaffen, als ihm zustehen. Im Kern lässt sich der Mechanismus aushebeln, der eigentlich regelt, wer sich anmelden und welche Rolle er erhalten darf. So kann sich ein Außenstehender unbefugt erweiterten Zugriff auf eine betroffene Power-Pages-Website verschaffen und auf Funktionen oder Daten zugreifen, die ihm nicht offenstehen sollten. Betroffen sind Organisationen, die ihre Web-Auftritte und Self-Service-Portale auf Power Pages betreiben und die Registrierung externer Nutzer zulassen.