Microsoft løste en alvorlig sårbarhed, der påvirkede Azure Active Directory (TILFØJE).
ADD-sårbarheden påvirkede flere vigtige applikationer og kunne føre til uautoriseret adgang. En af de udsatte applikationer driver Bing.com-søgemaskinen. Sårbarheden gjorde det muligt at ændre søgeresultater og XSS-angreb mod Bing-brugere, ifølge skysikkerhedsfirmaet Wiz.
Angrebene kan kompromittere brugernes personlig data, såsom Outlook-e-mails og SharePoint-dokumenter. sårbarhederne, rapporteret til Microsoft i 2022, er nu rettet, og Wiz blev tildelt en bug-bounty på et beløb på $40,000. Microsoft hævder, at sårbarhederne ikke er blevet udnyttet i naturen.
ADD sårbarheder: Teknisk oversigt
Problemerne udløses af den såkaldte Shared Responsibility Confusion, hvilket betyder, at Azure-applikationer kan konfigureres forkert til at muliggøre adgang fra enhver Microsoft-lejer.
"Med enkelt-lejer-godkendelse, virkningen er begrænset til applikationens lejer – alle brugere fra samme lejer kan oprette forbindelse til applikationen. Men med applikationer med flere lejere, eksponeringen er så bred, som den bliver – uden ordentlig validering, enhver Azure-bruger vil være i stand til at logge på applikationen,” Wiz-forskere forklarede.
Trusselsaktører med samme adgang kunne have været i stand til at pille ved de mest populære søgeresultater og lække følsomme data fra millioner af brugere. Andre sårbare apps inkluderer Mag News, Central Underretningstjeneste, Kontakt center, PoliCheck, Power Automate Blog, og COSMOS.