Microsoft abordó una vulnerabilidad grave que afectó a Azure Active Directory (AÑADIR).
La vulnerabilidad ADD afectó a varias aplicaciones cruciales y podría dar lugar a un acceso no autorizado. Una de las aplicaciones expuestas impulsa el motor de búsqueda Bing.com. La vulnerabilidad permitía modificar resultados de búsqueda y ataques XSS contra usuarios de Bing, según la empresa de seguridad en la nube Wiz.
Los ataques podrían comprometer a los usuarios información personal, como correos electrónicos de Outlook y documentos de SharePoint. las vulnerabilidades, informó a Microsoft en 2022, ahora están arreglados, y Wiz recibió una recompensa por errores por la cantidad de $40,000. Microsoft afirma que las vulnerabilidades no han sido explotadas en la naturaleza.
AGREGAR vulnerabilidades: Resumen técnico
Los problemas se desencadenan por la llamada Confusión de responsabilidad compartida, lo que significa que las aplicaciones de Azure podrían configurarse incorrectamente para habilitar el acceso desde cualquier inquilino de Microsoft.
“Con la autenticación de un solo inquilino, el impacto se limita al arrendatario de la aplicación: todos los usuarios del mismo arrendatario podrían conectarse a la aplicación. Pero con aplicaciones de múltiples inquilinos, la exposición es tan amplia como es posible, sin la validación adecuada, cualquier usuario de Azure podrá iniciar sesión en la aplicación,” Investigadores de Wiz explicado.
Los actores de amenazas con el mismo acceso podrían haber manipulado los resultados de búsqueda más populares y filtrado datos confidenciales de millones de usuarios.. Otras aplicaciones vulnerables incluyen Mag News, Servicio Central de Notificaciones, Centro de contacto, PoliCheck, Blog de automatización de energía, y COSMOS.