Microsoft hat eine schwerwiegende Schwachstelle behoben, die sich auf das Azure Active Directory auswirkte (HINZUFÜGEN).
Die ADD-Schwachstelle wirkte sich auf mehrere wichtige Anwendungen aus und könnte zu unbefugtem Zugriff führen. Eine der exponierten Anwendungen betreibt die Suchmaschine Bing.com. Die Schwachstelle ermöglichte das Modifizieren von Suchergebnissen und XSS-Angriffen auf Bing-Benutzer, Laut der Cloud-Sicherheitsfirma Wiz.
Die Angriffe könnten Benutzer gefährden personenbezogenen Daten, wie Outlook-E-Mails und SharePoint-Dokumente. die Sicherheitslücken, bei Microsoft gemeldet 2022, sind jetzt behoben, und Wiz wurde ein Bug Bounty in Höhe von zuerkannt $40,000. Microsoft behauptet, dass die Schwachstellen nicht in freier Wildbahn ausgenutzt wurden.
Schwachstellen HINZUFÜGEN: technischer Überblick
Die Probleme werden durch die sogenannte Shared Responsibility Confusion ausgelöst, Dies bedeutet, dass Azure-Anwendungen falsch konfiguriert werden könnten, um den Zugriff von jedem Microsoft-Mandanten zu ermöglichen.
„Mit Single-Tenant-Authentifizierung, Die Auswirkungen sind auf den Mandanten der Anwendung beschränkt – alle Benutzer desselben Mandanten könnten sich mit der Anwendung verbinden. Aber mit mandantenfähigen Anwendungen, die Exposition ist so breit wie es nur geht – ohne angemessene Validierung, Jeder Azure-Benutzer kann sich bei der Anwendung anmelden,” Wiz-Forscher erklärt.
Bedrohungsakteure mit demselben Zugriff hätten die beliebtesten Suchergebnisse manipulieren und sensible Daten von Millionen von Benutzern preisgeben können. Andere anfällige Apps sind Mag News, Zentraler Benachrichtigungsdienst, Kontaktzentrum, PoliCheck, Power Automate-Blog, und KOSMOS.