Microsoft ha abordado una falla grave en Azure Active Directory que los investigadores de seguridad que la descubrieron la denominaron BingBang.
La vulnerabilidad no solo hizo posible manipular los resultados de búsqueda de Bing, sino también acceder a datos privados. datos de Outlook, Office 365 y Teams. El problema se debió a una mala configuración de Azure; se remonta a enero de este año, pero Microsoft acaba de tapar el agujero.
Véase también:
Los analistas de seguridad de Wiz Research explican que encontraron un nuevo vector de ataque en Azure Active Directory que expuso aplicaciones mal configuradas al acceso no autorizado. Describiendo estas configuraciones incorrectas como”bastante populares”, los investigadores dicen que alrededor de una cuarta parte de las aplicaciones multiinquilino resultaron ser vulnerables.
En un publicación de blog, el equipo dice:
Encontramos varias aplicaciones de Microsoft vulnerables y de alto impacto. Una de estas aplicaciones es un sistema de administración de contenido (CMS) que impulsa Bing.com y nos permitió no solo modificar los resultados de búsqueda, sino también lanzar ataques XSS de alto impacto en los usuarios de Bing. Esos ataques podrían comprometer los datos personales de los usuarios, incluidos los correos electrónicos de Outlook y los documentos de SharePoint.
Los investigadores de seguridad de Wiz compartieron un video que muestra la vulnerabilidad que se está explotando:
Microsoft dice que ahora ha”abordado una configuración incorrecta de autorización para aplicaciones de múltiples inquilinos que usan Azure AD”. La compañía dice que el problema”afectó a una pequeña cantidad de nuestras aplicaciones internas”.
Resumiendo su respuesta a los hallazgos, Microsoft dice:
Microsoft corrigió de inmediato la configuración incorrecta y agregó verificaciones de autorización adicionales para abordar el problema y confirmó que no se había producido ningún acceso no deseado. Microsoft ha confirmado que todos los las acciones descritas por los investigadores ya no son posibles debido a estas correcciones. Microsoft realizó cambios adicionales para reducir el riesgo de futuras configuraciones incorrectas.
Los detalles técnicos de la configuración incorrecta están disponibles en el MRSC entrada de blog.