O motor de busca Bing da Microsoft tem estado nos noticiários ultimamente devido ao lançamento do Bing Chat. No entanto, antes deste lançamento, os pesquisadores de segurança da Wiz descobriram um grande falha na plataforma de computação em nuvem da Microsoft, Azure, que comprometia a segurança do Bing.
Hillai Ben-Sasson, da Wiz, revelou suas descobertas em um tópico recente no Twitter, afirmando que descobriram “uma estranha configuração do Azure” em janeiro. Eles encontraram uma vulnerabilidade no serviço de gerenciamento de identidade e acesso do Azure Active Directory (AAD), que lhes permitia acessar o recurso Bing Trivia da Microsoft sem autenticação. Essa falha permitia que hackers obtivessem informações pessoais de usuários do Bing, como e-mails do Outlook e bate-papos do Teams, emitindo tokens do Office para todos os usuários conectados.
De acordo com o diretor de tecnologia da Wiz, Ami Luttwak, o exploit pode ter sido usado por um estado tentando influenciar a opinião pública ou um hacker com motivos financeiros. Felizmente, a Microsoft abordou os problemas relatados por Wiz no Azure e no Bing. Em um blog post, a Microsoft afirmou que o Azure AD foi atualizado para parar de emitir tokens de acesso para clientes não registrados no locatário do recurso. Isso deve evitar esse problema se o aplicativo não lidar com as verificações de autenticação corretamente.
Embora o Wiz não tenha encontrado nenhuma evidência de exploração antes do lançamento do patch, eles sugerem que as organizações que usam aplicativos do Azure Active Directory revisem seus logs de aplicativo para logins suspeitos que indicam uma violação de segurança.
Em reconhecimento a seus esforços, a Microsoft recompensou Wiz com US$ 40.000 por encontrar e relatar a falha. Isso destaca a importância da divulgação responsável de vulnerabilidades para garantir que sejam abordadas de forma rápida e eficiente.
Em conclusão, a recente descoberta de uma vulnerabilidade no Azure por Wiz serve como um lembrete da importância de medidas de segurança robustas em plataformas de computação em nuvem. Com a Microsoft abordando rapidamente os problemas, é uma prova de seu compromisso em garantir a segurança dos dados de seus usuários. No entanto, as organizações também devem tomar medidas proativas para revisar os logs de seus aplicativos para identificar atividades suspeitas e evitar futuras violações de segurança.