Μια εσφαλμένη διαμόρφωση στο Azure Active Directory (AAD) που εξέθετε εφαρμογές σε μη εξουσιοδοτημένη πρόσβαση θα μπορούσε να είχε οδηγήσει σε απομακρυσμένο έλεγχο του Bing.com, σύμφωνα με την εταιρεία κυβερνοασφάλειας Wiz.
Το AAD της Microsoft, μια υπηρεσία διαχείρισης ταυτότητας και πρόσβασης (IAM) που βασίζεται σε cloud, χρησιμοποιείται συνήθως ως μηχανισμός ελέγχου ταυτότητας για τις εφαρμογές Azure App Services και Azure Functions.
Η υπηρεσία υποστηρίζει διαφορετικούς τύπους πρόσβασης λογαριασμού, συμπεριλαμβανομένης της πρόσβασης πολλαπλών ενοικιαστών, όπου οποιοσδήποτε χρήστης που ανήκει σε οποιονδήποτε μισθωτή Azure μπορεί να εκδώσει ένα διακριτικό OAuth για αυτόν, εκτός εάν υπάρχουν κατάλληλοι περιορισμοί.
Για εφαρμογές πολλών ενοικιαστών, οι προγραμματιστές είναι υπεύθυνοι για τον έλεγχο του αρχικού μισθωτή ενός χρήστη και την επιβολή πολιτικών πρόσβασης για την αποτροπή μη εξουσιοδοτημένων συνδέσεων, αλλά η Wiz ανακάλυψε ότι περισσότερο από το 25% των εφαρμογών πολλαπλών ενοικιαστών που είναι προσβάσιμες από το Διαδίκτυο στερούνται κατάλληλης επικύρωσης.
Το ζήτημα υπάρχει επειδή δεν είναι προφανές στους προγραμματιστές ότι είναι υπεύθυνοι για την επικύρωση της ταυτότητας χρήστη, γεγονός που οδηγεί σε σφάλματα διαμόρφωσης και επικύρωσης. Αυτό που ανακάλυψε ο Wiz, ωστόσο, ήταν ότι οι εφαρμογές της Microsoft ανήκαν στην ίδια κατηγορία.
Μία από αυτές τις εφαρμογές ήταν το Bing Trivia, μια εφαρμογή της Microsoft που παρείχε πρόσβαση σε ένα σύστημα διαχείρισης περιεχομένου (CMS) συνδεδεμένο με το Bing.com και το οποίο επέτρεπε στους ερευνητές του Wiz να ελέγχουν τα αποτελέσματα στη μηχανή αναζήτησης της Microsoft. Ο Wiz αποκαλεί την επίθεση “αμφιβολία’.
“Ένας κακόβουλος ηθοποιός που προσγειώνεται στη σελίδα της εφαρμογής Bing Trivia θα μπορούσε επομένως να έχει παραβιάσει οποιονδήποτε όρο αναζήτησης και να έχει ξεκινήσει εκστρατείες παραπληροφόρησης, καθώς και να έχει υποκλέψει και να πλαστογραφεί άλλους ιστότοπους”, λέει ο Wiz.
Σκάβοντας βαθύτερα, οι ερευνητές ανακάλυψαν ότι το Bing και το Office 365 ήταν συνδεδεμένα και ότι μπορούσαν να προσθέσουν ένα ωφέλιμο φορτίο δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) στο Bing.com, το οποίο τους επέτρεπε να υπονομεύσουν το διακριτικό του Office 365 οποιουδήποτε χρήστη.
Αυτό τους παρείχε πρόσβαση στα δεδομένα του Office 365 ενός χρήστη, συμπεριλαμβανομένων των email, των μηνυμάτων του Teams, των καταχωρίσεων ημερολογίου και των αρχείων SharePoint και OneDrive.
