Microsoft अपनी Azure Active Directory - AAD कॉन्फ़िगरेशन चुनौतियों का शिकार हो गया है। गलत कॉन्फ़िगरेशन के कारण, विशेषज्ञ कुछ बिंग खोज परिणामों में दुर्भावनापूर्ण कोड जोड़ने में कामयाब रहे, जिसने Microsoft 365 उपयोगकर्ताओं को उजागर किया।
विज़ रिसर्च के विशेषज्ञों ने विन्यास त्रुटियों को पाया और परीक्षण के लिए उनका शोषण किया। Microsoft ने विशेषज्ञों को बग बाउंटी से पुरस्कृत किया और बग को तुरंत ठीक कर दिया। क्या हुआ? विशेषज्ञ घटना का वर्णन करते हैं:
दुर्भावनापूर्ण कोड सहित हेरफेर किए गए Bing खोज परिणाम
“इन अनुप्रयोगों ने हमें विभिन्न प्रकार के संवेदनशील Microsoft डेटा को देखने और संशोधित करने की अनुमति दी। एक विशेष मामले में, हम Bing.com पर खोज परिणामों में हेरफेर करने और Bing उपयोगकर्ताओं पर XSS हमले करने में सक्षम थे, संभावित रूप से ग्राहक Office 365 डेटा जैसे ईमेल, चैट और दस्तावेज़ों को उजागर करते थे।
Azure सक्रिय निर्देशिका (AAD)
🔎 भेद्यता के साथ, WIZ शोधकर्ता बिंग में खोज परिणाम को बदलने में सक्षम थे (छवि: विज रिसर्च)।
Microsoft AAD में अपनी स्वयं की SSO सेवा प्रदान करता है, जो Azure ऐप सेवाओं या Azure फ़ंक्शंस में निर्मित ऐप्स के लिए सबसे सामान्य प्रमाणीकरण तंत्रों में से एक है। एएडी विभिन्न प्रकार की खाता पहुंच प्रदान करता है: एकल-किरायेदार, बहु-किरायेदार, व्यक्तिगत खाते या बाद के दो का संयोजन। सिंगल टेनेंट एप्लिकेशन केवल उसी टेनेंट के उपयोगकर्ताओं को ऐप के लिए OAuth टोकन जारी करने की अनुमति देता है। दूसरी ओर, बहु-किरायेदार अनुप्रयोग किसी भी एज़्योर किरायेदार को उनके लिए एक OAuth टोकन जारी करने की अनुमति देते हैं। इसलिए, ऐप डेवलपर्स को अपने कोड में टोकन की जांच करने और यह तय करने की आवश्यकता है कि किस उपयोगकर्ता को लॉग इन करने की अनुमति है।
"एज़्योर ऐप सर्विसेज और एज़्योर फ़ंक्शंस के मामले में, हम साझा जिम्मेदारी भ्रम का एक पाठ्यपुस्तक उदाहरण देखते हैं। ये प्रबंधित सेवाएँ उपयोगकर्ताओं को एक बटन के क्लिक के साथ प्रमाणीकरण क्षमता जोड़ने की अनुमति देती हैं, जो एप्लिकेशन स्वामी के लिए एक सहज प्रक्रिया प्रतीत होती है। हालाँकि, सेवा केवल टोकन की वैधता सुनिश्चित करती है। एप्लिकेशन स्वामियों को यह एहसास नहीं है कि वे OAuth दावों के माध्यम से उपयोगकर्ता की पहचान को सत्यापित करने और तदनुसार पहुंच प्रदान करने के लिए ज़िम्मेदार हैं।"
Microsoft ने तुरंत प्रतिक्रिया दी और अंतर को ठीक किया
"हमें कई अत्यधिक प्रभावी, कमजोर Microsoft अनुप्रयोग मिले। इन ऐप्स में से एक सामग्री प्रबंधन प्रणाली (CMS) है जो Bing.com को शक्ति प्रदान करती है और हमें न केवल खोज परिणामों को संशोधित करने की अनुमति देती है, बल्कि Bing उपयोगकर्ताओं पर शक्तिशाली XSS हमले भी करती है। ये हमले आउटलुक ईमेल और शेयरपॉइंट दस्तावेजों सहित उपयोगकर्ताओं की व्यक्तिगत जानकारी से समझौता कर सकते हैं।"
MSRC टीम को सभी मुद्दों की सूचना दी गई है। कमजोर अनुप्रयोगों को ठीक किया गया, ग्राहक गाइड को अपडेट किया गया और ग्राहक जोखिम को कम करने के लिए कुछ AAD सुविधाओं को पैच किया गया. हमले के तकनीकी पाठ्यक्रम का वर्णन एक ब्लॉग में किया गया है।
WIZ.io पर अधिक