Microsoft solucionó un problema de configuración incorrecta que afectaba a Azure Active Directory (AAD) servicio de administración de acceso e identidad que expuso varias aplicaciones de «alto impacto» al acceso no autorizado.
«Una de estas aplicaciones es un sistema de administración de contenido (CMS) que impulsa Bing.com y nos permitió no solo modificar los resultados de búsqueda, sino también lanzar ataques XSS de alto impacto en los usuarios de Bing», dijo la empresa de seguridad en la nube Wiz. dicho en un informe «Esos ataques podrían comprometer los datos personales de los usuarios, incluidos los correos electrónicos de Outlook y los documentos de SharePoint».
Los problemas se informaron a Microsoft en enero y febrero de 2022, luego de lo cual el gigante tecnológico aplicó correcciones y otorgó a Wiz una recompensa por errores de $ 40,000. Redmond dicho no encontró evidencia de que las configuraciones erróneas fueran explotadas en la naturaleza.
El quid de la vulnerabilidad se deriva de lo que se denomina «confusión de responsabilidad compartida», en la que una aplicación de Azure puede configurarse incorrectamente para permitir a los usuarios de cualquier inquilino de Microsoft, lo que lleva a un caso potencial de acceso no deseado.
Curiosamente, se descubrió que varias aplicaciones internas de Microsoft mostraban este comportamiento, lo que permitía a terceros obtener lectura y escritura en las aplicaciones afectadas.
Esto incluye la aplicación Bing Trivia, que la empresa de ciberseguridad explotó para alterar los resultados de búsqueda en Bing e incluso manipular el contenido de la página de inicio como parte de una cadena de ataque denominada BingBang.
Para empeorar las cosas, el exploit podría armarse para desencadenar un ataque de secuencias de comandos en sitios cruzados (XSS) en Bing.com y extraer los correos electrónicos, calendarios, mensajes de Teams, documentos de SharePoint y archivos de OneDrive de Outlook de la víctima.
«Un actor malintencionado con el mismo acceso podría haber secuestrado los resultados de búsqueda más populares con la misma carga y filtrar datos confidenciales de millones de usuarios», señaló la investigadora de Wiz Hillai Ben-Sasson.
Otras aplicaciones que se encontraron susceptibles al problema de configuración incorrecta incluyen Mag News, Central Notification Service (CNS), Contact Center, PoliCheck, Power Automate Blog y COSMOS.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
El desarrollo se produce como empresa de pruebas de penetración empresarial NetSPI reveló detalles de una vulnerabilidad entre inquilinos en Conectores de plataforma de potencia que podría ser objeto de abuso para obtener acceso a datos confidenciales.
Tras la divulgación responsable en septiembre de 2022, Microsoft resolvió la vulnerabilidad de deserialización en diciembre de 2022.
La investigación también sigue al lanzamiento de parches para remediar Super FabriXss (CVE-2023-23383, puntaje CVSS: 8.2), una vulnerabilidad XSS reflejada en Azure Service Fabric Explorer (SFX) que podría conducir a la ejecución remota de código no autenticado.