由於 Bing Chat 的推出,Microsoft 的 Bing 搜索引擎最近成為新聞。然而,在此次發布之前,Wiz 的安全研究人員發現了一個主要問題微軟雲計算平台 Azure 中的缺陷危及 Bing 的安全性。
Wiz 的 Hillai Ben-Sasson 在最近的 Twitter 帖子中透露了他們的發現,稱他們在 1 月份發現了“一個奇怪的 Azure 配置”。他們在 Azure Active Directory (AAD) 身份和訪問管理服務中發現了一個漏洞,該漏洞使他們無需身份驗證即可訪問 Microsoft 的 Bing Trivia 功能。該漏洞使黑客能夠通過向所有登錄用戶發放 Office 令牌來獲取 Bing 用戶的個人信息,例如 Outlook 電子郵件和 Teams 聊天記錄。
根據 Wiz 首席技術官 Ami Luttwak 的說法,該漏洞可能已被試圖影響公眾輿論的國家或出於經濟動機的黑客。幸運的是,Microsoft 已經解決了 Wiz 在 Azure 和 Bing 中報告的問題。在博客中-use-azure-ad/”>post,Microsoft 表示已更新 Azure AD 以停止向未在資源租戶中註冊的客戶端頒發訪問令牌。如果應用程序未正確處理身份驗證檢查,這應該可以防止此問題。
雖然 Wiz 在發布補丁之前沒有發現任何利用的證據,但他們建議使用 Azure Active Directory 應用程序的組織檢查他們的應用程序日誌
為了表彰他們的努力,Microsoft 獎勵 Wiz 40,000 美元以表彰他們發現並報告了該漏洞。這凸顯了負責任地披露漏洞以確保快速有效地解決漏洞的重要性。
總而言之,Wiz 最近在 Azure 中發現的一個漏洞提醒人們在 Azure 中採取穩健的安全措施的重要性。雲計算平台。微軟迅速解決了這些問題,這證明了其致力於確保用戶數據安全的承諾。但是,組織還應採取積極措施檢查其應用程序日誌,以識別可疑活動並防止未來出現安全漏洞。