微软已经修补了一个影响 Azure Active Directory ( AAD ) 身份和访问管理服务的错误配置问题,该服务使多个“高影响”应用程序暴露给未经授权的访问。
“其中一个应用程序是内容管理系统 (CMS),它为 Bing.com 提供支持,让我们不仅可以修改搜索结果,还可以对 Bing 用户发起高影响力的 XSS 攻击,”云安全公司 Wiz 在一份报告中说。“这些攻击可能会损害用户的个人数据,包括 Outlook 电子邮件和 SharePoint 文档。”
这些问题已于 2022 年 1 月和 2022 年 2 月报告给微软,随后这家科技巨头应用了修复程序并向 Wiz 提供了 40,000 美元的漏洞赏金。雷德蒙德表示,它没有发现任何证据表明这些错误配置在野外被利用。
该漏洞的症结源于所谓的“共享责任混淆”,其中 Azure 应用程序可能被错误地配置为允许来自任何 Microsoft 租户的用户,从而导致潜在的意外访问情况。
有趣的是,微软自己的一些内部应用程序被发现表现出这种行为,从而允许外部各方获得受影响应用程序的读写权限。
这包括 Bing Trivia 应用程序,网络安全公司利用它来改变 Bing 中的搜索结果,甚至操纵主页上的内容,作为名为 BingBang 的攻击链的一部分。
更糟糕的是,该漏洞可以被武器化以触发对 Bing.com 的跨站点脚本 (XSS) 攻击,并提取受害者的 Outlook 电子邮件、日历、Teams 消息、SharePoint 文档和 OneDrive 文件。
Wiz 研究员 Hillai Ben-Sasson 指出:“具有相同访问权限的恶意行为者可能会利用相同的有效载荷劫持最流行的搜索结果,并泄露数百万用户的敏感数据。”
其他易受错误配置问题影响的应用程序包括 Mag News、Central Notification Service (CNS)、Contact Center、PoliCheck、Power Automate Blog 和 COSMOS。
随着企业渗透测试公司 NetSPI披露了Power Platform 连接器中的跨租户漏洞的详细信息,该漏洞可能被滥用以获取对敏感数据的访问权限,这一进展随之而来。
