Microsoft è caduta vittima delle proprie sfide di configurazione di Azure Active Directory – AAD. A causa dell'errata configurazione, gli esperti sono riusciti ad aggiungere codice dannoso ad alcuni risultati di ricerca di Bing, esponendo gli utenti di Microsoft 365.
Gli esperti di Wiz Research hanno trovato gli errori di configurazione e li hanno sfruttati per i test. Microsoft ha premiato gli esperti con un BugBounty e ha risolto immediatamente i bug. Quello che è successo? Gli esperti descrivono l'incidente:
Risultati di ricerca Bing manipolati, incluso codice dannoso
“Queste applicazioni ci hanno permesso di visualizzare e modificare vari tipi di dati Microsoft sensibili. In un caso particolare, siamo stati in grado di manipolare i risultati di ricerca su Bing.com ed eseguire attacchi XSS sugli utenti di Bing, esponendo potenzialmente i dati di Office 365 dei clienti come e-mail, chat e documenti".
Directory attiva di Azure (AAD)
🔎 Con la vulnerabilità, i ricercatori di WIZ sono stati in grado di modificare il risultato della ricerca in Bing (Immagine: Wiz Research).
Microsoft offre il proprio servizio SSO in AAD, uno dei meccanismi di autenticazione più comuni per le app create in Servizi app di Azure o Funzioni di Azure. AAD offre diversi tipi di accesso all'account: single-tenant, multi-tenant, account personali o una combinazione degli ultimi due. Le applicazioni a tenant singolo consentono solo agli utenti dello stesso tenant di emettere un token OAuth per l'app. Le applicazioni multi-tenant, invece, consentono a qualsiasi tenant di Azure di emettere un token OAuth. Pertanto, gli sviluppatori di app devono esaminare i token nel loro codice e decidere a quale utente è consentito l'accesso.
“Nel caso di Servizi app di Azure e Funzioni di Azure, vediamo un esempio da manuale di confusione di responsabilità condivisa. Questi servizi gestiti consentono agli utenti di aggiungere funzionalità di autenticazione con il clic di un pulsante, un processo apparentemente senza soluzione di continuità per il proprietario dell'applicazione. Tuttavia, il servizio garantisce solo la validità del token. I proprietari delle applicazioni non si rendono conto di essere responsabili della convalida dell'identità dell'utente tramite attestazioni OAuth e di fornire l'accesso di conseguenza".
Microsoft ha reagito rapidamente e ha colmato il divario
“Abbiamo trovato diverse applicazioni Microsoft altamente efficaci e vulnerabili. Una di queste app è un sistema di gestione dei contenuti (CMS) che alimenta Bing.com e ci ha permesso non solo di modificare i risultati di ricerca, ma anche di lanciare potenti attacchi XSS agli utenti di Bing. Questi attacchi potrebbero compromettere le informazioni personali degli utenti, incluse le e-mail di Outlook e i documenti di SharePoint."
Tutti i problemi sono stati segnalati al team MSRC. Risolte le applicazioni vulnerabili, aggiornata la guida del cliente e patchate alcune funzionalità di AAD per ridurre l'esposizione del cliente. Il corso tecnico dell'attacco è descritto in un blog.
Altro su WIZ.io