Microsoft solucion\u00f3 un problema de configuraci\u00f3n incorrecta que afectaba a Azure Active Directory (AAD<\/a>) servicio de administraci\u00f3n de acceso e identidad que expuso varias aplicaciones de “alto impacto” al acceso no autorizado.<\/p>\n “Una de estas aplicaciones es un sistema de administraci\u00f3n de contenido (CMS) que impulsa Bing.com y nos permiti\u00f3 no solo modificar los resultados de b\u00fasqueda, sino tambi\u00e9n lanzar ataques XSS de alto impacto en los usuarios de Bing”, dijo la empresa de seguridad en la nube Wiz. dicho<\/a> en un informe “Esos ataques podr\u00edan comprometer los datos personales de los usuarios, incluidos los correos electr\u00f3nicos de Outlook y los documentos de SharePoint”.<\/p>\n Los problemas se informaron a Microsoft en enero y febrero de 2022, luego de lo cual el gigante tecnol\u00f3gico aplic\u00f3 correcciones y otorg\u00f3 a Wiz una recompensa por errores de $ 40,000. Redmond dicho<\/a> no encontr\u00f3 evidencia de que las configuraciones err\u00f3neas fueran explotadas en la naturaleza.<\/p>\n El quid de la vulnerabilidad se deriva de lo que se denomina “confusi\u00f3n de responsabilidad compartida”, en la que una aplicaci\u00f3n de Azure puede configurarse incorrectamente para permitir a los usuarios de cualquier inquilino de Microsoft, lo que lleva a un caso potencial de acceso no deseado.<\/p>\n Curiosamente, se descubri\u00f3 que varias aplicaciones internas de Microsoft mostraban este comportamiento, lo que permit\u00eda a terceros obtener lectura y escritura en las aplicaciones afectadas.<\/p>\n Esto incluye la aplicaci\u00f3n Bing Trivia, que la empresa de ciberseguridad explot\u00f3 para alterar los resultados de b\u00fasqueda en Bing e incluso manipular el contenido de la p\u00e1gina de inicio como parte de una cadena de ataque denominada BingBang.<\/p>\n Para empeorar las cosas, el exploit podr\u00eda armarse para desencadenar un ataque de secuencias de comandos en sitios cruzados (XSS) en Bing.com y extraer los correos electr\u00f3nicos, calendarios, mensajes de Teams, documentos de SharePoint y archivos de OneDrive de Outlook de la v\u00edctima.<\/p>\n “Un actor malintencionado con el mismo acceso podr\u00eda haber secuestrado los resultados de b\u00fasqueda m\u00e1s populares con la misma carga y filtrar datos confidenciales de millones de usuarios”, se\u00f1al\u00f3 la investigadora de Wiz Hillai Ben-Sasson.<\/p>\n Otras aplicaciones que se encontraron susceptibles al problema de configuraci\u00f3n incorrecta incluyen Mag News, Central Notification Service (CNS), Contact Center, PoliCheck, Power Automate Blog y COSMOS.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n El desarrollo se produce como empresa de pruebas de penetraci\u00f3n empresarial NetSPI revel\u00f3<\/a> detalles de una vulnerabilidad entre inquilinos en Conectores de plataforma de potencia<\/a> que podr\u00eda ser objeto de abuso para obtener acceso a datos confidenciales.<\/p>\n Tras la divulgaci\u00f3n responsable en septiembre de 2022, Microsoft resolvi\u00f3 la vulnerabilidad de deserializaci\u00f3n en diciembre de 2022.<\/p>\n La investigaci\u00f3n tambi\u00e9n sigue al lanzamiento de parches para remediar Super FabriXss (CVE-2023-23383, puntaje CVSS: 8.2), una vulnerabilidad XSS reflejada en Azure Service Fabric Explorer (SFX) que podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo no autenticado.<\/p>\n <\/p>\n![\"Vulnerabilidad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/Microsoft-corrige-una-nueva-vulnerabilidad-de-Azure-AD-que-afecta.gif\" "\\"Vulnerabilidad")
<\/div>\n![\"Vulnerabilidad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680381468_727_Microsoft-corrige-una-nueva-vulnerabilidad-de-Azure-AD-que-afecta.png\" "\\"Vulnerabilidad")
<\/div>\n