Microsoft solucionó un problema de configuración incorrecta que afectaba el servicio de gestión de acceso e identidad de Azure Active Directory ( AAD ) que exponía varias aplicaciones de «alto impacto» al acceso no autorizado.
«Una de estas aplicaciones es un sistema de administración de contenido (CMS) que impulsa Bing.com y nos permitió no solo modificar los resultados de búsqueda, sino también lanzar ataques XSS de alto impacto en los usuarios de Bing», dijo la empresa de seguridad en la nube Wiz en un informe . «Esos ataques podrían comprometer los datos personales de los usuarios, incluidos los correos electrónicos de Outlook y los documentos de SharePoint».
Los problemas se informaron a Microsoft en enero y febrero de 2022, luego de lo cual el gigante tecnológico aplicó correcciones y otorgó a Wiz una recompensa por errores de $ 40,000. Redmond dijo que no encontró evidencia de que las configuraciones erróneas fueran explotadas en la naturaleza.
El quid de la vulnerabilidad se deriva de lo que se denomina «confusión de responsabilidad compartida», en la que una aplicación de Azure puede configurarse incorrectamente para permitir a los usuarios de cualquier inquilino de Microsoft, lo que lleva a un caso potencial de acceso no deseado.
Curiosamente, se descubrió que varias aplicaciones internas de Microsoft mostraban este comportamiento, lo que permitía a terceros obtener lectura y escritura en las aplicaciones afectadas.
Esto incluye la aplicación Bing Trivia, que la empresa de ciberseguridad explotó para alterar los resultados de búsqueda en Bing e incluso manipular el contenido de la página de inicio como parte de una cadena de ataque denominada BingBang.
Para empeorar las cosas, el exploit podría armarse para desencadenar un ataque de secuencias de comandos en sitios cruzados (XSS) en Bing.com y extraer los correos electrónicos, calendarios, mensajes de Teams, documentos de SharePoint y archivos de OneDrive de Outlook de la víctima.
«Un actor malintencionado con el mismo acceso podría haber secuestrado los resultados de búsqueda más populares con la misma carga y filtrar datos confidenciales de millones de usuarios», señaló la investigadora de Wiz Hillai Ben-Sasson.
Otras aplicaciones que se encontraron susceptibles al problema de configuración incorrecta incluyen Mag News, Central Notification Service (CNS), Contact Center, PoliCheck, Power Automate Blog y COSMOS.
El desarrollo se produce cuando la firma de pruebas de penetración empresarial NetSPI reveló detalles de una vulnerabilidad entre inquilinos en los conectores de Power Platform que podrían ser objeto de abuso para obtener acceso a datos confidenciales.
Tras la divulgación responsable en septiembre de 2022, Microsoft resolvió la vulnerabilidad de deserialización en diciembre de 2022.
La investigación también sigue al lanzamiento de parches para remediar Super FabriXss (CVE-2023-23383, puntaje CVSS: 8.2), una vulnerabilidad XSS reflejada en Azure Service Fabric Explorer (SFX) que podría conducir a la ejecución remota de código no autenticado.
Fuente y redacción: thehackernews.com
