Эта мега-уязвимость Microsoft может позволить хакерам изменить результаты Bing, получить доступ к электронной почте Outlook
31 марта 2023 г.Microsoft исправила серьезную уязвимость в своей поисковой системе Bing, которая позволяла потенциальным злоумышленникам не только изменять результаты поиска, но и получать доступ к Office 365 data.
Исследователи кибербезопасности из Wiz обнаружили уязвимость в январе 2023 года, идентифицировав ее как неправильную конфигурацию в Azure Active Directory. (AAD) служба управления идентификацией и доступом на облачной платформе Microsoft Azure.
Помимо изменения результатов поиска, уязвимость может разрешить доступ к данным Office 365 других людей, таким как электронная почта, календари, сообщения Teams, файлы OneDrive и многое другое.
Частое явление
Некоторые приложения в Azure могут использовать мультитенантное разрешение и, таким образом, быть доступными для любого пользователя Azure. Это означает, что разработчикам необходимо настроить способ проверки пользователей и следить за тем, кто и к чему имеет доступ. Согласно The Verge, именно здесь многие ошибаются, поскольку неправильные настройки в этом отношении являются «частым явлением». Wiz говорит, что 25% всех мультитенантных приложений, которые она отсканировала, не прошли надлежащую проверку.
Это именно то, что произошло с Bing Trivia, и это позволило исследователям войти в систему со своими собственными учетными записями Azure. После входа в систему им был предоставлен доступ к системе управления контентом (CMS), которая позволяла им изменять результаты поиска в реальном времени из Bing. Исследователи заявили, что здесь они не сделали ничего впечатляющего — любой, кто знал, как попасть на страницу Bing Trivia, мог сделать то же самое.
Помимо изменения результатов поисковой системы, исследователи также обнаружили, что им был предоставлен доступ к данным Office 365 других людей, таким как электронная почта Outlook, календари, сообщения Teams, файлы OneDrive и многое другое. Исследователи проверили его на поддельном почтовом ящике и подтвердили наличие уязвимости. Но на этом возможности уязвимости не заканчиваются — в облаке Microsoft есть более 1000 приложений и веб-сайтов с похожими неправильными конфигурациями, такими как Mag News, PoliCheck, Cosmos и т. д.
«Потенциальный злоумышленник могли повлиять на результаты поиска Bing и скомпрометировать электронную почту Microsoft 365 и данные миллионов людей», — заявила The Wall Street Journal главный технический директор Wiz Ами Луттвак. «Это могло быть национальное государство, пытающееся повлиять на общественное мнение, или финансово мотивированный хакер».
Microsoft была предупреждена 31 января и к 20 марта полностью устранила уязвимость. Исследователи не обнаружили никаких доказательств предшествующего злоупотребления.
Через: Грань
Оригинал