A Microsoft corrigiu uma vulnerabilidade grave que afetou o Azure Active Directory (ADICIONAR).
A vulnerabilidade ADD afetou vários aplicativos cruciais e pode levar a acesso não autorizado. Um dos aplicativos expostos alimenta o mecanismo de pesquisa Bing.com. A vulnerabilidade permitia modificar resultados de pesquisa e ataques XSS contra usuários do Bing, de acordo com a empresa de segurança em nuvem Wiz.
Os ataques podem comprometer os usuários dados pessoais, como e-mails do Outlook e documentos do SharePoint. as vulnerabilidades, relatado à Microsoft em 2022, agora estão consertados, e Wiz recebeu uma recompensa por bug no valor de $40,000. A Microsoft afirma que as vulnerabilidades não foram exploradas na natureza.
ADICIONAR Vulnerabilidades: Visão geral técnica
As questões são desencadeadas pela chamada Confusão de Responsabilidade Compartilhada, o que significa que os aplicativos do Azure podem ser configurados incorretamente para permitir o acesso de qualquer locatário da Microsoft.
“Com autenticação de locatário único, o impacto é limitado ao locatário do aplicativo – todos os usuários do mesmo locatário podem se conectar ao aplicativo. Mas com aplicativos multilocatários, a exposição é tão ampla quanto possível - sem validação adequada, qualquer usuário do Azure poderá fazer login no aplicativo,” Pesquisadores Wiz explicado.
Atores de ameaças com o mesmo acesso poderiam adulterar os resultados de pesquisa mais populares e vazar dados confidenciais de milhões de usuários. Outros aplicativos vulneráveis incluem Mag News, Serviço Central de Notificação, Centro de contato, PoliCheck, Power Automate Blogue, e COSMOS.