Microsoft ha risolto una grave vulnerabilità che ha avuto un impatto su Azure Active Directory (INSERISCI).
La vulnerabilità ADD ha avuto un impatto su diverse applicazioni cruciali e potrebbe portare ad accessi non autorizzati. Una delle applicazioni esposte alimenta il motore di ricerca Bing.com. La vulnerabilità ha consentito di modificare i risultati della ricerca e gli attacchi XSS contro gli utenti di Bing, secondo la società di sicurezza cloud Wiz.
Gli attacchi potrebbero compromettere la dati personali, come e-mail di Outlook e documenti di SharePoint. le vulnerabilità, segnalato a Microsoft in 2022, ora sono fissi, e Wiz ha ricevuto una taglia di bug per un importo di $40,000. Microsoft afferma che le vulnerabilità non sono state sfruttate in natura.
AGGIUNGI Vulnerabilità: Panoramica tecnica
I problemi sono innescati dalla cosiddetta Confusione di Responsabilità Condivisa, il che significa che le applicazioni Azure potrebbero essere configurate in modo errato per consentire l'accesso da qualsiasi tenant Microsoft.
“Con l'autenticazione single-tenant, l'impatto è limitato al tenant dell'applicazione: tutti gli utenti dello stesso tenant possono connettersi all'applicazione. Ma con applicazioni multi-tenant, l'esposizione è più ampia possibile, senza un'adeguata convalida, qualsiasi utente di Azure sarà in grado di accedere all'applicazione,Ricercatori Wiz ha spiegato.
Gli attori delle minacce con lo stesso accesso avrebbero potuto manomettere i risultati di ricerca più popolari e far trapelare dati sensibili da milioni di utenti. Altre app vulnerabili includono Mag News, Servizio centrale di notifica, Centralino, Policheck, Blog di Power Automate, e COSMO.