Microsoft hat einen schwerwiegenden Fehler in Azure Active Directory behoben, der von den Sicherheitsforschern, die ihn entdeckten, BingBang genannt wurde.
Die Schwachstelle ermöglichte nicht nur die Manipulation von Bing-Suchergebnissen, sondern auch den privaten Zugriff Daten aus Outlook, Office 365 und Teams. Das Problem war auf eine Fehlkonfiguration von Azure zurückzuführen; es geht auf den Januar dieses Jahres zurück, aber Microsoft hat das Loch gerade erst gestopft.
Siehe auch:
Sicherheitsanalysten von Wiz Research erklären, dass sie einen neuen Angriffsvektor in Azure Active Directory gefunden haben, der offengelegt wurde falsch konfigurierte Anwendungen für unbefugten Zugriff. Die Forscher beschreiben diese Fehlkonfigurationen als „ziemlich verbreitet“, sagen, dass sich etwa ein Viertel der Multi-Tenant-Anwendungen als anfällig erwiesen haben.
In einer Blogpost, sagt das Team:
Wir haben mehrere hochwirksame, anfällige Microsoft-Anwendungen gefunden. Eine dieser Apps ist ein Content-Management-System (CMS), das Bing.com antreibt und es uns ermöglichte, nicht nur Suchergebnisse zu ändern, sondern auch wirkungsvolle XSS-Angriffe auf Bing-Benutzer zu starten. Diese Angriffe könnten die persönlichen Daten der Benutzer gefährden, einschließlich Outlook-E-Mails und SharePoint-Dokumente.
Die Sicherheitsforscher von Wiz haben ein Video geteilt, das die ausgenutzte Schwachstelle zeigt:
Microsoft sagt, dass es jetzt „eine Berechtigungsfehlkonfiguration für Multi-Tenant-Anwendungen behoben hat, die Azure AD verwenden“. Das Unternehmen sagt, dass das Problem „eine kleine Anzahl unserer internen Anwendungen betraf“.
Microsoft hat seine Antwort auf die Ergebnisse zusammengefasst:
Microsoft hat die Fehlkonfiguration sofort korrigiert und zusätzliche Autorisierungsprüfungen hinzugefügt, um das Problem zu beheben, und bestätigt, dass kein unbeabsichtigter Zugriff stattgefunden hat. Microsoft hat bestätigt, dass alle Die von den Forschern skizzierten Aktionen sind aufgrund dieser Korrekturen nicht mehr möglich. Microsoft hat zusätzliche Änderungen vorgenommen, um das Risiko zukünftiger Fehlkonfigurationen zu verringern.
Technische Details der Fehlkonfiguration sind im MRSC verfügbar Blogbeitrag.