Die Bing-Suchmaschine von Microsoft war in letzter Zeit aufgrund der Einführung von Bing Chat in den Nachrichten. Vor dieser Einführung entdeckten Sicherheitsforscher von Wiz jedoch einen wichtigen Fehler Schwachstelle in Microsofts Cloud-Computing-Plattform Azure, die die Sicherheit von Bing gefährdete.
Hillai Ben-Sasson von Wiz enthüllte ihre Ergebnisse in einem kürzlich erschienenen Twitter-Thread und erklärte, dass sie im Januar „eine seltsame Azure-Konfiguration“ entdeckt hätten. Sie fanden eine Schwachstelle im Identitäts-und Zugriffsverwaltungsdienst Azure Active Directory (AAD), die es ihnen ermöglichte, ohne Authentifizierung auf die Bing Trivia-Funktion von Microsoft zuzugreifen. Dieser Fehler ermöglichte es Hackern, persönliche Informationen von Bing-Benutzern wie Outlook-E-Mails und Teams-Chats zu erhalten, indem sie Office-Token an alle angemeldeten Benutzer ausstellten.
Laut Ami Luttwak, Chief Technology Officer von Wiz, könnte der Exploit von a Staat, der versucht, die öffentliche Meinung zu beeinflussen, oder ein Hacker mit finanziellen Motiven. Glücklicherweise hat Microsoft die Probleme behoben, die Wiz in Azure und Bing gemeldet hat. In einem Blog post gab Microsoft an, dass Azure AD aktualisiert wurde, um die Ausgabe von Zugriffstoken an Clients zu stoppen, die nicht im Ressourcenmandanten registriert sind. Dies sollte dieses Problem verhindern, wenn die Anwendung Authentifizierungsprüfungen nicht korrekt verarbeitet.
Obwohl Wiz vor der Veröffentlichung des Patches keine Hinweise auf eine Ausnutzung gefunden hat, schlagen sie vor, dass Organisationen, die Azure Active Directory-Anwendungen verwenden, ihre Anwendungsprotokolle überprüfen für verdächtige Anmeldungen, die auf eine Sicherheitsverletzung hindeuten.
In Anerkennung seiner Bemühungen belohnte Microsoft Wiz mit 40.000 US-Dollar für das Auffinden und Melden des Fehlers. Dies unterstreicht die Bedeutung der verantwortungsvollen Offenlegung von Schwachstellen, um sicherzustellen, dass sie schnell und effizient angegangen werden.
Abschließend dient die kürzliche Entdeckung einer Schwachstelle in Azure durch Wiz als Erinnerung an die Bedeutung robuster Sicherheitsmaßnahmen in Cloud-Computing-Plattformen. Dass Microsoft die Probleme schnell angeht, ist dies ein Beweis für sein Engagement, die Sicherheit der Daten seiner Benutzer zu gewährleisten. Organisationen sollten jedoch auch proaktive Schritte unternehmen, um ihre Anwendungsprotokolle zu überprüfen, um verdächtige Aktivitäten zu identifizieren und zukünftige Sicherheitsverletzungen zu verhindern.