Microsoft ได้แก้ไขข้อบกพร่องร้ายแรงใน Azure Active Directory ซึ่งนักวิจัยด้านความปลอดภัยได้ขนานนามว่า BingBang
ช่องโหว่ดังกล่าวไม่เพียงแต่ทำให้สามารถจัดการผลการค้นหาของ Bing เท่านั้น แต่ยังรวมถึงการเข้าถึงแบบส่วนตัวด้วย ข้อมูลจาก Outlook, Office 365 และ Teams ปัญหาเกิดจากการกำหนดค่า Azure ที่ผิดพลาด; มันย้อนกลับไปในเดือนมกราคมปีนี้ แต่ Microsoft เพิ่งอุดช่องโหว่
ดูเพิ่มเติม:
นักวิเคราะห์ด้านความปลอดภัยจาก Wiz Research อธิบายว่าพวกเขาพบเวกเตอร์การโจมตีใหม่ใน Azure Active Directory ที่เปิดเผย แอปพลิเคชันกำหนดค่าผิดเพื่อเข้าถึงโดยไม่ได้รับอนุญาต อธิบายการกำหนดค่าที่ผิดพลาดเหล่านี้ว่า”ค่อนข้างเป็นที่นิยม”นักวิจัยกล่าวว่าประมาณหนึ่งในสี่ของแอปพลิเคชันที่มีผู้เช่าหลายรายกลายเป็นช่องโหว่
ใน บล็อกโพสต์ ทีมงานกล่าวว่า:
เราพบแอปพลิเคชัน Microsoft ที่มีผลกระทบสูงและมีช่องโหว่หลายรายการ หนึ่งในแอปเหล่านี้คือระบบจัดการเนื้อหา (CMS) ที่ขับเคลื่อน Bing.com และช่วยให้เราไม่เพียงแก้ไขผลการค้นหา แต่ยังเปิดการโจมตี XSS ที่มีผลกระทบสูงต่อผู้ใช้ Bing การโจมตีเหล่านั้นอาจทำให้ข้อมูลส่วนบุคคลของผู้ใช้เสียหาย รวมถึงอีเมล Outlook และเอกสาร SharePoint
นักวิจัยด้านความปลอดภัยของ Wiz ได้แชร์วิดีโอที่แสดงช่องโหว่ที่ถูกโจมตี:
Microsoft กล่าวว่าขณะนี้ได้”แก้ไขการกำหนดค่าการอนุญาตที่ไม่ถูกต้องสำหรับแอปพลิเคชันหลายผู้เช่าที่ใช้ Azure AD”บริษัทกล่าวว่าปัญหาดังกล่าว”ส่งผลกระทบต่อแอปพลิเคชันภายในของเราจำนวนเล็กน้อย”
โดยสรุปการตอบสนองต่อสิ่งที่ค้นพบ Microsoft กล่าวว่า:
Microsoft แก้ไขการกำหนดค่าที่ไม่ถูกต้องทันทีและเพิ่มการตรวจสอบการให้สิทธิ์เพิ่มเติมเพื่อแก้ไขปัญหา และยืนยันว่าไม่มีการเข้าถึงที่ไม่ได้ตั้งใจเกิดขึ้น Microsoft ยืนยันว่าทั้งหมด ไม่สามารถดำเนินการตามที่ระบุไว้โดยผู้วิจัยได้อีกต่อไปเนื่องจากการแก้ไขเหล่านี้ Microsoft ได้ทำการเปลี่ยนแปลงเพิ่มเติมเพื่อลดความเสี่ยงของการกำหนดค่าผิดพลาดในอนาคต
รายละเอียดทางเทคนิคของการกำหนดค่าที่ไม่ถูกต้องมีอยู่ใน MRSC บล็อกโพสต์