Microsoft heeft een ernstige kwetsbaarheid verholpen die van invloed was op de Azure Active Directory (TOEVOEGEN).
De ADD-kwetsbaarheid had gevolgen voor verschillende cruciale applicaties en kon leiden tot ongeoorloofde toegang. Een van de blootgestelde applicaties drijft de Bing.com-zoekmachine aan. De kwetsbaarheid maakte het mogelijk zoekresultaten en XSS-aanvallen tegen Bing-gebruikers aan te passen, Dat meldt cloudbeveiligingsbedrijf Wiz.
De aanvallen kunnen gebruikers in gevaar brengen persoonlijke gegevens, zoals Outlook-e-mails en SharePoint-documenten. de beveiligingslekken, gerapporteerd aan Microsoft in 2022, zijn nu opgelost, en Wiz kreeg een bug bounty ter waarde van $40,000. Microsoft beweert dat de kwetsbaarheden niet in het wild zijn misbruikt.
VOEG kwetsbaarheden toe: technisch overzicht
De problemen worden veroorzaakt door de zogenaamde Shared Responsibility Confusion, wat betekent dat Azure-applicaties onjuist kunnen worden geconfigureerd om toegang vanuit elke Microsoft-tenant mogelijk te maken.
“Met single-tenant authenticatie, de impact is beperkt tot de tenant van de applicatie: alle gebruikers van dezelfde tenant kunnen verbinding maken met de applicatie. Maar dan met multi-tenant applicaties, de blootstelling is zo breed als mogelijk - zonder de juiste validatie, elke Azure-gebruiker kan zich aanmelden bij de toepassing,Wiz-onderzoekers toegelicht.
Bedreigers met dezelfde toegang hadden kunnen knoeien met de meest populaire zoekresultaten en gevoelige gegevens van miljoenen gebruikers kunnen lekken. Andere kwetsbare apps zijn Mag News, Centrale meldingsdienst, Contact Centrum, PoliCheck, Power Automate-blog, en COSMOS.