El motor de búsqueda Bing de Microsoft ha estado en las noticias últimamente debido al lanzamiento de Bing Chat. Sin embargo, antes de este lanzamiento, los investigadores de seguridad de Wiz descubrieron una importante falla en la plataforma de computación en la nube de Microsoft, Azure, que comprometió la seguridad de Bing.
Hillai Ben-Sasson de Wiz reveló sus hallazgos en un hilo reciente de Twitter, afirmando que descubrieron”una configuración extraña de Azure”en enero. Encontraron una vulnerabilidad en el servicio de gestión de acceso e identidad de Azure Active Directory (AAD), que les permitía acceder a la función Bing Trivia de Microsoft sin autenticación. Esta falla permitió a los piratas informáticos obtener información personal de los usuarios de Bing, como correos electrónicos de Outlook y chats de Teams, mediante la emisión de tokens de Office a todos los usuarios que iniciaron sesión.
Según el director de tecnología de Wiz, Ami Luttwak, el exploit podría haber sido utilizado por un estado tratando de influir en la opinión pública o un hacker con motivos financieros. Afortunadamente, Microsoft ha solucionado los problemas que Wiz informó en Azure y Bing. En un blog post, Microsoft declaró que Azure AD se había actualizado para dejar de emitir tokens de acceso a clientes no registrados en el arrendatario de recursos. Esto debería evitar este problema si la aplicación no maneja correctamente las verificaciones de autenticación.
Aunque Wiz no encontró ninguna evidencia de explotación antes de que se lanzara el parche, sugiere que las organizaciones que usan aplicaciones de Azure Active Directory revisen sus registros de aplicaciones por inicios de sesión sospechosos que indican una brecha de seguridad.
En reconocimiento a sus esfuerzos, Microsoft recompensó a Wiz con $40,000 por encontrar y reportar la falla. Esto destaca la importancia de la divulgación responsable de vulnerabilidades para garantizar que se aborden de manera rápida y eficiente.
En conclusión, el descubrimiento reciente de una vulnerabilidad en Azure por parte de Wiz sirve como un recordatorio de la importancia de medidas de seguridad sólidas en plataformas de computación en la nube. Con Microsoft abordando rápidamente los problemas, es un testimonio de su compromiso de garantizar la seguridad de los datos de sus usuarios. Sin embargo, las organizaciones también deben tomar medidas proactivas para revisar sus registros de aplicaciones para identificar actividades sospechosas y prevenir futuras infracciones de seguridad.