A Microsoft corrigiu uma falha grave no Azure Active Directory, que foi apelidada de BingBang pelos pesquisadores de segurança que a descobriram.
A vulnerabilidade não apenas possibilitou a manipulação dos resultados de pesquisa do Bing, mas também o acesso privado dados do Outlook, Office 365 e Teams. O problema surgiu de uma configuração incorreta do Azure; remonta a janeiro deste ano, mas a Microsoft acabou de tapar o buraco.
Veja também:
Analistas de segurança da Wiz Research explicam que encontraram um novo vetor de ataque no Azure Active Directory que expôs aplicativos mal configurados para acesso não autorizado. Descrevendo essas configurações incorretas como”bastante populares”, os pesquisadores dizem que cerca de um quarto dos aplicativos multilocatários eram vulneráveis.
Em um postagem do blog, a equipe diz:
Encontramos vários aplicativos vulneráveis da Microsoft de alto impacto. Um desses aplicativos é um sistema de gerenciamento de conteúdo (CMS) que alimenta o Bing.com e nos permite não apenas modificar os resultados da pesquisa, mas também lançar ataques XSS de alto impacto nos usuários do Bing. Esses ataques podem comprometer os dados pessoais dos usuários, incluindo e-mails do Outlook e documentos do SharePoint.
Os pesquisadores de segurança da Wiz compartilharam um vídeo que mostra a vulnerabilidade sendo explorada:
A Microsoft diz que agora”resolveu um erro de configuração de autorização para aplicativos multilocatários que usam o Azure AD”A empresa diz que o problema”impactou um pequeno número de nossos aplicativos internos”.
Resumindo sua resposta às descobertas, a Microsoft diz:
A Microsoft imediatamente corrigiu a configuração incorreta e adicionou verificações de autorização adicionais para resolver o problema e confirmou que nenhum acesso não intencional ocorreu. A Microsoft confirmou que todos os as ações descritas pelos pesquisadores não são mais possíveis devido a essas correções. A Microsoft fez alterações adicionais para reduzir o risco de futuras configurações incorretas.
Os detalhes técnicos da configuração incorreta estão disponíveis no MRSC postagem do blog.