TNGD

Tech + News + Guides + Daily = TNGD!

News

Microsoft risolve il bug di Azure BingBang che consentiva il dirottamento della ricerca di Bing e la perdita di dati privati

ByHenry Taylor

Mar 31, 2023

Microsoft ha risolto un grave difetto in Azure Active Directory, soprannominato BingBang dai ricercatori di sicurezza che lo hanno scoperto.

La vulnerabilità non solo ha reso possibile la manipolazione dei risultati di ricerca di Bing, ma anche l’accesso privato dati da Outlook, Office 365 e Teams. Il problema derivava da una configurazione errata di Azure; risale a gennaio di quest’anno, ma Microsoft ha appena tappato il buco.

Vedi anche:

Gli analisti della sicurezza di Wiz Research spiegano di aver trovato un nuovo vettore di attacco in Azure Active Directory che ha esposto applicazioni configurate in modo errato ad accessi non autorizzati. Descrivendo queste configurazioni errate come”abbastanza popolari”, i ricercatori affermano che circa un quarto delle applicazioni multi-tenant si è rivelato vulnerabile.

In un post del blog, il team afferma:

Abbiamo trovato diverse applicazioni Microsoft vulnerabili e ad alto impatto. Una di queste app è un sistema di gestione dei contenuti (CMS) che alimenta Bing.com e ci ha permesso non solo di modificare i risultati di ricerca, ma anche di lanciare attacchi XSS ad alto impatto sugli utenti di Bing. Tali attacchi potrebbero compromettere i dati personali degli utenti, inclusi i messaggi di posta elettronica di Outlook e i documenti di SharePoint.

I ricercatori di sicurezza di Wiz hanno condiviso un video che mostra la vulnerabilità sfruttata:

Microsoft afferma di aver”risolto un problema di configurazione errata dell’autorizzazione per le applicazioni multi-tenant che utilizzano Azure AD”. La società afferma che il problema”ha avuto un impatto su un numero limitato di nostre applicazioni interne”.

Riassumendo la sua risposta ai risultati, Microsoft afferma:

Microsoft ha immediatamente corretto l’errata configurazione e ha aggiunto ulteriori controlli di autorizzazione per risolvere il problema e ha confermato che non si era verificato alcun accesso involontario.Microsoft ha confermato che tutte le le azioni delineate dai ricercatori non sono più possibili a causa di queste correzioni. Microsoft ha apportato ulteriori modifiche per ridurre il rischio di future configurazioni errate.

I dettagli tecnici dell’errata configurazione sono disponibili nel post del blog.

By Henry Taylor

Lavoro come sviluppatore back-end. Alcuni di voi mi avranno visto alla conferenza degli sviluppatori. Ultimamente sto lavorando a un progetto open source.

Related Post

News

Offerta su Skullcandy Push Ultra: il prezzo di listino di $ 99,99 è ora scontato del 61%.

Apr 5, 2023 Henry Taylor
News

Offerta su TOZO T12: 36% DI SCONTO a $ 54,99

Apr 5, 2023 Kaitlynn Clay
News

Snipping Tool vs Snip and Sketch (2023) Rivedi e confronta

Apr 5, 2023 Maxwell Gaven

You missed

Review

Come chiudere tutte le schede private su iPhone 13

April 5, 2023 Maxwell Gaven
Review

Le migliori app di monitoraggio dei voli per Android e iOS (2023)

April 5, 2023 Henry Taylor
How-To

Come rendere Google la mia home page su Mac

April 5, 2023 Kaitlynn Clay
How-To

Dragare (Mac)

April 5, 2023 Maxwell Gaven