Cercetătorii au descoperit o vulnerabilitate în platforma Microsoft Azure care permitea utilizatorilor să acceseze date private din aplicațiile Office 365 precum Outlook, Teams și OneDrive, potrivit TheVerge.
La începutul acestui an a fost detectată o vulnerabilitate periculoasă în motorul de căutare Bing al Microsoft, care permitea utilizatorilor să modifice rezultatele căutărilor și să acceseze informațiile private ale altor utilizatori Bing din aplicații precum Teams, Outlook și Office 365. În ianuarie, cercetătorii în domeniul securității de la Wiz au descoperit o configurație eronată în Azure - platforma de cloud computing a Microsoft - care a compromis Bing, permițând oricărui utilizator Azure să acceseze aplicații fără autorizație.
Mai multe date personale au fost accesibile pentru utilizatori
Vulnerabilitatea a fost detectată în serviciul de gestionare a identității și accesului Azure Active Directory (AAD). Aplicațiile care utilizează permisiunile platformei sunt accesibile oricărui utilizator Azure, ceea ce obligă dezvoltatorii să valideze ce utilizatori pot accesa aplicațiile lor. Această responsabilitate nu este întotdeauna clară, ceea ce face ca configurațiile eronate să fie un eveniment comun - Wiz susține că 25% din toate aplicațiile pe care le-a scanat nu aveau o validare corespunzătoare.
Una dintre aceste aplicații a fost Bing Trivia. Cercetătorii au putut să se conecteze la aplicație folosind propriile conturi Azure, unde au descoperit un sistem de gestionare a conținutului (CMS) care le permitea să controleze în direct rezultatele căutărilor pe Bing.com. Wiz subliniază că oricine a ajuns pe pagina aplicației Bing Trivia ar fi putut manipula rezultatele căutării Bing pentru a lansa campanii de dezinformare sau de phishing.
O investigație în secțiunea Work a Bing a dezvăluit, de asemenea, că eroarea ar putea fi folosită pentru a accesa datele Office 365 ale altor utilizatori, expunând e-mailuri Outlook, calendare, mesaje Teams, documente SharePoint și fișiere OneDrive. Wiz a demonstrat că a folosit cu succes vulnerabilitatea pentru a citi e-mailurile din căsuța de e-mail a unei victime simulate. Peste 1.000 de aplicații și site-uri web din cloud-ul Microsoft au fost descoperite cu exploit-uri similare de configurare defectuoasă, inclusiv Mag News, Contact Center, PoliCheck, Power Automate Blog și Cosmos.
"Un potențial atacator ar fi putut influența rezultatele căutării pe Bing și ar fi putut compromite e-mailurile Microsoft 365 și datele a milioane de persoane", a declarat Ami Luttwak, directorul de tehnologie al Wiz, pentru The Wall Street Journal. "Ar fi putut fi un stat-națiune care încerca să influențeze opinia publică sau un hacker motivat financiar".
Vulnerabilitatea Bing a fost raportată la Centrul de Răspuns la Securitate al Microsoft pe 31 ianuarie. Microsoft a remediat problema pe 2 februarie, potrivit lui Luttwak. Ulterior, Wiz a semnalat celelalte aplicații vulnerabile pe 25 februarie și a declarat că Microsoft a confirmat că toate problemele raportate au fost rezolvate pe 20 martie. De asemenea, Microsoft a mai spus că societatea a făcut modificări suplimentare pentru a reduce riscul unor viitoare configurații greșite.
Bing s-a bucurat de o creștere a popularității în ultima vreme, depășind la începutul acestei luni pragul de 100 de milioane de utilizatori activi zilnici, după lansarea funcției Bing Chat cu inteligență artificială pe 7 februarie. În cazul în care problema nu ar fi fost remediată cu câteva zile înainte, creșterea explozivă a Bing ar fi putut împinge exploatarea de securitate periculoasă și foarte accesibilă mai departe, la milioane de utilizatori.