Microsoft は、Azure Active Directory に影響を与える深刻な脆弱性に対処しました (追加).
ADD の脆弱性はいくつかの重要なアプリケーションに影響を与え、不正アクセスにつながる可能性がありました. 公開されたアプリケーションの 1 つが Bing.com 検索エンジンを強化. 検索結果の改ざんや Bing ユーザーに対する XSS 攻撃が可能な脆弱性, クラウド セキュリティ会社 Wiz によると.
攻撃により、ユーザーの 個人データ, Outlook の電子メールや SharePoint ドキュメントなど. 脆弱性, マイクロソフトに報告 2022, 現在修正されています, そして Wiz はバグ報奨金として $40,000. Microsoft は、これらの脆弱性は実際には悪用されていないと主張している.
脆弱性を追加: 技術概要
問題は、いわゆる責任共有の混乱によって引き起こされます, つまり、Microsoft テナントからのアクセスを有効にするために、Azure アプリケーションが正しく構成されていない可能性があります。.
「シングルテナント認証で, 影響はアプリケーションのテナントに限定されます。同じテナントのすべてのユーザーがアプリケーションに接続できます。. ただし、マルチテナント アプリケーションでは, 露出は可能な限り広い - 適切な検証なし, すべての Azure ユーザーがアプリケーションにログインできます。,ウィズ研究者 説明.
同じアクセス権を持つ攻撃者は、最も人気のある検索結果を改ざんし、何百万人ものユーザーから機密データを漏らすことができた可能性があります. その他の脆弱なアプリには Mag News が含まれます, 中央通知サービス, コンタクトセンター, ポリチェック, Power Automate ブログ, コスモス.