เสิร์ชเอ็นจิ้น Bing ของ Microsoft เป็นข่าวเมื่อเร็วๆ นี้เนื่องจากการเปิดตัว Bing Chat อย่างไรก็ตาม ก่อนการเปิดตัวนี้ นักวิจัยด้านความปลอดภัยของ Wiz ได้ค้นพบสิ่งสำคัญ ข้อบกพร่องใน Azure ของแพลตฟอร์มคลาวด์คอมพิวติ้งของ Microsoft ซึ่งส่งผลต่อความปลอดภัยของ Bing
Hillai Ben-Sasson จาก Wiz เปิดเผยการค้นพบของพวกเขาในเธรด Twitter ล่าสุด โดยระบุว่าพวกเขาค้นพบ”การกำหนดค่า Azure ที่แปลกประหลาด”ในเดือนมกราคม พวกเขาพบช่องโหว่ในบริการจัดการข้อมูลประจำตัวและการเข้าถึง Azure Active Directory (AAD) ซึ่งทำให้พวกเขาเข้าถึงฟีเจอร์ Bing Trivia ของ Microsoft ได้โดยไม่ต้องตรวจสอบสิทธิ์ ข้อบกพร่องนี้ทำให้แฮ็กเกอร์สามารถรับข้อมูลส่วนบุคคลจากผู้ใช้ Bing เช่น อีเมล Outlook และการแชทใน Teams โดยออกโทเค็น Office ให้กับผู้ใช้ที่เข้าสู่ระบบทั้งหมด
ตามที่ Ami Luttwak ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Wiz ระบุว่าช่องโหว่นี้อาจถูกใช้โดย a รัฐพยายามโน้มน้าวความคิดเห็นสาธารณะหรือแฮ็กเกอร์ด้วยแรงจูงใจทางการเงิน โชคดีที่ Microsoft ได้แก้ไขปัญหาที่ Wiz รายงานใน Azure และ Bing ในบล็อก โพสต์ Microsoft ระบุว่า Azure AD ได้รับการอัปเดตเพื่อหยุดการออกโทเค็นการเข้าถึงให้กับลูกค้าที่ไม่ได้ลงทะเบียนในผู้เช่าทรัพยากร ซึ่งควรป้องกันปัญหานี้หากแอปพลิเคชันไม่จัดการการตรวจสอบความถูกต้องอย่างถูกต้อง
แม้ว่า Wiz จะไม่พบหลักฐานการใช้ประโยชน์ใดๆ ก่อนออกแพตช์ พวกเขาแนะนำให้องค์กรที่ใช้แอปพลิเคชัน Azure Active Directory ตรวจสอบบันทึกแอปพลิเคชันของตน สำหรับการเข้าสู่ระบบที่น่าสงสัยซึ่งบ่งชี้ถึงการละเมิดความปลอดภัย
เพื่อรับรู้ถึงความพยายามของพวกเขา Microsoft ให้รางวัลแก่ Wiz เป็นจำนวนเงิน 40,000 ดอลลาร์สำหรับการค้นหาและรายงานข้อบกพร่อง สิ่งนี้เน้นย้ำถึงความสำคัญของการเปิดเผยช่องโหว่อย่างรับผิดชอบเพื่อให้แน่ใจว่าได้รับการแก้ไขอย่างรวดเร็วและมีประสิทธิภาพ
โดยสรุป การค้นพบช่องโหว่ล่าสุดใน Azure โดย Wiz เป็นเครื่องเตือนใจถึงความสำคัญของมาตรการรักษาความปลอดภัยที่แข็งแกร่งใน แพลตฟอร์มคลาวด์คอมพิวติ้ง การที่ Microsoft จัดการกับปัญหาอย่างรวดเร็ว ถือเป็นข้อพิสูจน์ถึงความมุ่งมั่นในการรับรองความปลอดภัยและการรักษาข้อมูลของผู้ใช้ อย่างไรก็ตาม องค์กรควรดำเนินการเชิงรุกเพื่อตรวจสอบบันทึกแอปพลิเคชันของตนเพื่อระบุกิจกรรมที่น่าสงสัยและป้องกันการละเมิดความปลอดภัยในอนาคต