Microsoft ha sido víctima de su propio Azure Active Directory: desafíos de configuración de AAD. Debido a la mala configuración, los expertos lograron agregar un código malicioso a algunos resultados de búsqueda de Bing, lo que expuso a los usuarios de Microsoft 365.
Los expertos de Wiz Research encontraron los errores de configuración y los explotaron para realizar pruebas. Microsoft recompensó a los expertos con un BugBounty y corrigió los errores de inmediato. ¿Qué pasó? Los expertos describen el incidente:
Resultados de búsqueda de Bing manipulados, incluido código malicioso
“Estas aplicaciones nos permitieron ver y modificar varios tipos de datos confidenciales de Microsoft. En un caso particular, pudimos manipular los resultados de búsqueda en Bing.com y realizar ataques XSS en los usuarios de Bing, lo que podría exponer los datos de Office 365 del cliente, como correos electrónicos, chats y documentos”.
Directorio activo de Azure (AAD)
🔎 Con la vulnerabilidad, los investigadores de WIZ pudieron cambiar el resultado de la búsqueda en Bing (Imagen: Wiz Research).
Microsoft ofrece su propio servicio SSO en AAD, uno de los mecanismos de autenticación más comunes para aplicaciones integradas en Azure App Services o Azure Functions. AAD ofrece diferentes tipos de acceso a la cuenta: cuentas personales de un solo inquilino, de múltiples inquilinos o una combinación de las dos últimas. Las aplicaciones de inquilino único solo permiten a los usuarios del mismo inquilino emitir un token de OAuth para la aplicación. Las aplicaciones de múltiples inquilinos, por otro lado, permiten que cualquier inquilino de Azure les emita un token de OAuth. Por lo tanto, los desarrolladores de aplicaciones deben examinar los tokens en su código y decidir qué usuario puede iniciar sesión.
“En el caso de Azure App Services y Azure Functions, vemos un ejemplo de libro de texto de confusión de responsabilidad compartida. Estos servicios administrados permiten a los usuarios agregar capacidad de autenticación con solo hacer clic en un botón, un proceso aparentemente fluido para el propietario de la aplicación. Sin embargo, el servicio solo asegura la validez del token. Los propietarios de las aplicaciones no se dan cuenta de que son responsables de validar la identidad del usuario a través de reclamos de OAuth y proporcionar acceso en consecuencia".
Microsoft reaccionó rápidamente y arregló la brecha
“Encontramos varias aplicaciones de Microsoft altamente efectivas y vulnerables. Una de estas aplicaciones es un sistema de administración de contenido (CMS) que utiliza Bing.com y nos permitió no solo modificar los resultados de búsqueda, sino también lanzar poderosos ataques XSS a los usuarios de Bing. Estos ataques podrían comprometer la información personal de los usuarios, incluidos los correos electrónicos de Outlook y los documentos de SharePoint".
Todos los problemas han sido informados al equipo de MSRC. Se corrigieron las aplicaciones vulnerables, se actualizó la guía del cliente y se parchearon algunas funciones de AAD para reducir la exposición del cliente.. El curso técnico del ataque se describe en un blog.
Más en WIZ.io