Microsoft は、独自の Azure Active Directory (AAD 構成の課題) の犠牲になっています。 構成ミスが原因で、専門家は悪意のあるコードを一部の Bing 検索結果に追加し、Microsoft 365 ユーザーを暴露しました。
Wiz Research の専門家が構成エラーを発見し、テストに利用しました。 Microsoft は専門家に BugBounty を提供し、バグをすぐに修正しました。 どうしたの? 専門家はこの事件について次のように説明しています。
悪意のあるコードを含む操作された Bing 検索結果
「これらのアプリケーションにより、さまざまな種類の機密性の高い Microsoft データを表示および変更できました。 ある特定のケースでは、Bing.com の検索結果を操作し、Bing ユーザーに対して XSS 攻撃を実行して、電子メール、チャット、ドキュメントなどの顧客の Office 365 データを公開する可能性がありました。」
Azure Active Directory(AAD)
🔎 この脆弱性により、WIZ の研究者は Bing の検索結果を変更することができました (画像: Wiz Research)。
Microsoft は、Azure App Services または Azure Functions で構築されたアプリの最も一般的な認証メカニズムの XNUMX つである AAD で独自の SSO サービスを提供しています。 AAD は、シングルテナント、マルチテナント、個人アカウント、または後者 XNUMX つの組み合わせなど、さまざまな種類のアカウント アクセスを提供します。 シングル テナント アプリケーションでは、同じテナントのユーザーのみがアプリに OAuth トークンを発行できます。 一方、マルチテナント アプリケーションでは、任意の Azure テナントが OAuth トークンを発行できます。 したがって、アプリ開発者はコード内のトークンを調べて、ログインを許可するユーザーを決定する必要があります。
「Azure App Services と Azure Functions の場合、共有責任の混乱の教科書的な例が見られます。 これらの管理されたサービスにより、ユーザーはボタンをクリックするだけで認証機能を追加できます。これは、アプリケーション所有者にとって一見シームレスなプロセスです。 ただし、サービスはトークンの有効性のみを保証します。 アプリケーションの所有者は、OAuth クレームを介してユーザーの ID を検証し、それに応じてアクセスを提供する責任があることを認識していません。」
マイクロソフトは迅速に対応し、ギャップを修正しました
「非常に効果的で脆弱な Microsoft アプリケーションがいくつか見つかりました。 これらのアプリの XNUMX つは、Bing.com を強化するコンテンツ管理システム (CMS) であり、検索結果を変更するだけでなく、Bing ユーザーに対して強力な XSS 攻撃を開始することも可能にしました。 これらの攻撃は、Outlook の電子メールや SharePoint ドキュメントなど、ユーザーの個人情報を危険にさらす可能性があります。」
すべての問題は MSRC チームに報告されています。 脆弱なアプリケーションを修正し、カスタマー ガイドを更新し、一部の AAD 機能にパッチを適用して、顧客への露出を減らしました。. 攻撃の技術的な経過はブログで説明されています。
詳細はWIZ.ioで