Microsoft, Bing arama motorunda, potansiyel tehdit aktörlerinin yalnızca arama sonuçlarını değiştirmesine değil, aynı zamanda insanların Office 365 verilerine erişmesine de izin veren yüksek önem dereceli bir güvenlik açığını yamaladı. (yeni sekmede açılır).
Wiz’den siber güvenlik araştırmacıları, kusuru Ocak 2023’te keşfederek Microsoft’un Azure bulut platformundaki Azure Active Directory (AAD) kimliğinde ve erişim yönetimi hizmetinde bir yanlış yapılandırma olarak tanımladılar.
Hata, arama motoru sonuçlarını değiştirmenin yanı sıra, diğer kişilerin Outlook e-postaları, takvimleri, Teams iletileri, OneDrive dosyaları ve daha fazlası gibi Office 365 verilerine erişime izin verebilir.
Yaygın bir olay
Azure’daki bazı uygulamalar, çok kiracılı izni kullanabilir ve bu nedenle herhangi bir Azure kullanıcısı tarafından erişilebilir. Bu, geliştiricilerin kullanıcıları doğrulamak ve kimin neye erişebileceğini takip etmek için bir yol oluşturması gerektiği anlamına gelir. The Verge’e göre, bu konudaki yanlış yapılandırmalar “yaygın bir olay” olduğundan, birçok kişinin yanlış anladığı yer burasıdır. Wiz, taradığı tüm çok kiracılı uygulamaların %25’inin iyi bir doğrulamaya sahip olmadığını söylüyor.
Bing Trivia’nın başına gelen tam olarak buydu ve bu, araştırmacıların kendi Azure hesaplarıyla oturum açmasına olanak sağladı. Oturum açtıktan sonra, Bing’den canlı arama sonuçlarını değiştirmelerine izin veren bir içerik yönetim sistemine (CMS) erişim izni verildi. Araştırmacılar burada olağanüstü bir şey yapmadıklarını söylediler – Bing Trivia sayfasına nasıl ulaşılacağını bilen herhangi biri de aynısını yapabilirdi.
Araştırmacılar, arama motoru sonuçlarını değiştirmenin yanı sıra, diğer kişilerin Outlook e-postaları, takvimleri, Teams mesajları, OneDrive dosyaları ve daha fazlası gibi Office 365 verilerine de erişim sağlandığını keşfettiler. Araştırmacılar bunu sahte bir e-posta gelen kutusunda test ettiler ve güvenlik açığını doğruladılar. Ancak güvenlik açığının kapsamı burada bitmiyor – Microsoft bulutunda Mag News, PoliCheck, Cosmos ve daha fazlası gibi benzer yanlış yapılandırmalara sahip 1.000’den fazla uygulama ve web sitesi var.
Wiz’in baş teknoloji sorumlusu Ami Luttwak The Wall Street Journal’a “Potansiyel bir saldırgan Bing arama sonuçlarını etkileyebilir ve Microsoft 365 e-postalarını ve milyonlarca kişinin verilerini tehlikeye atabilirdi” dedi. “Kamuoyunu etkilemeye çalışan bir ulus devlet veya finansal olarak motive olmuş bir bilgisayar korsanı olabilirdi.”
Microsoft, 31 Ocak’ta ihbar aldı ve 20 Mart’a kadar güvenlik açığını tamamen giderdi. Araştırmacılar daha önce kötüye kullanıldığına dair herhangi bir kanıt bulamadılar.
Aracılığıyla: Sınır (yeni sekmede açılır)