Microsoft corrige bug no Azure AD que afeta as buscas no Bing

Da Redação
03/04/2023

A Microsoft corrigiu um problema de configuração incorreta que afetava a identidade do Azure Active Directory (AAD) e o serviço de gerenciamento de acesso que permitia acesso não autorizado a muitos aplicativos de “alto impacto”. As vulnerabilidades foram relatadas à empresa em janeiro e fevereiro do ano passado, após o que ela implementou a correções e pagou a Wiz Research  uma recompensa pela descoberta do bug de US$ 40 mil.

“Um desses aplicativos é um sistema de gerenciamento de conteúdo [CMS] que alimenta o Bing.com e permite não apenas modificar os resultados da busca, mas também lançar ataques XSS [de script entre sites]de alto impacto aos usuários do Bing. Esses ataques podem comprometer as informações pessoais dos usuários, incluindo e-mails do Outlook e documentos do SharePoint”, disse a empresa.

O núcleo da vulnerabilidade deriva de um fenômeno conhecido como “confusão de responsabilidade compartilhada”, no qual um aplicativo do Azure pode ser configurado incorretamente para habilitar usuários de qualquer assinante da Microsoft, levando à possibilidade de acesso não autorizado.

Veja isso
Microsoft remove 18 aplicações do Azure usadas por hackers chineses
Microsoft Teams e portal do Azure falharam autenticação durante 14h

Curiosamente, descobriu-se que vários programas internos da própria Microsoft exibiam o mesmo comportamento, permitindo que terceiros tivessem acesso de leitura e gravação aos aplicativos afetados. Isso inclui o aplicativo Bing Trivia, que a empresa de segurança cibernética explorou para modificar os resultados de busca no Bing e até mesmo o conteúdo da página inicial como parte da cadeia de ataque “BingBang”.

A falha pode ser explorada para um ataque de script entre sites no Bing.com e recuperar os e-mails, calendários, comunicações do Teams, documentos do SharePoint e arquivos do OneDrive da vítima. “Um invasor com o mesmo acesso poderia ter sequestrado os resultados de busca mais populares com a mesma carga útil e vazado dados confidenciais de milhões de usuários”, disse a empresa.

Compartilhar: