Microsoft 解決了 Azure Active Directory 中的一個嚴重缺陷,發現它的安全研究人員將其命名為 BingBang。
該漏洞不僅可以操縱 Bing 搜索結果,還可以訪問私有來自 Outlook、Office 365 和 Teams 的數據。問題源於 Azure 配置錯誤;它可以追溯到今年 1 月,但微軟只是剛剛堵上了這個洞。
另請參閱:
來自 Wiz Research 的安全分析師解釋說,他們在 Azure Active Directory 中發現了一個新的攻擊向量,它暴露了錯誤配置的應用程序導致未經授權的訪問。研究人員將這些錯誤配置描述為“相當流行”,他們說大約四分之一的多租戶應用程序被證明是易受攻擊的。
在 博客文章,該團隊表示:
我們發現了幾個高影響力、易受攻擊的 Microsoft 應用程序。其中一個應用程序是內容管理系統 (CMS),它為 Bing.com 提供支持,使我們不僅可以修改搜索結果,還可以對 Bing 用戶發起高影響 XSS 攻擊。這些攻擊可能會危及用戶的個人數據,包括 Outlook 電子郵件和 SharePoint 文檔。
Wiz 的安全研究人員分享了一段顯示漏洞被利用的視頻:
微軟表示,它現在已經“解決了使用 Azure AD 的多租戶應用程序的授權錯誤配置”該公司表示,該問題“影響了我們的少量內部應用程序”。
Microsoft 總結其對調查結果的回應:
Microsoft 立即糾正了錯誤配置並添加了額外的授權檢查以解決該問題,並確認沒有發生意外訪問。Microsoft 已確認所有由於這些修復,研究人員概述的操作不再可能。Microsoft 進行了其他更改以降低未來配置錯誤的風險。
錯誤配置的技術細節可在 MRSC 博客文章。