A Microsoft foi vítima de seus próprios desafios de configuração do Azure Active Directory – AAD. Devido à configuração incorreta, os especialistas conseguiram adicionar código malicioso a alguns resultados de pesquisa do Bing, o que expôs os usuários do Microsoft 365.
Os especialistas da Wiz Research encontraram os erros de configuração e os exploraram para testes. A Microsoft recompensou os especialistas com um BugBounty e corrigiu os bugs imediatamente. O que aconteceu? Os especialistas descrevem o incidente:
Resultados de pesquisa Bing manipulados, incluindo código malicioso
“Esses aplicativos nos permitiram visualizar e modificar vários tipos de dados confidenciais da Microsoft. Em um caso específico, conseguimos manipular os resultados da pesquisa no Bing.com e realizar ataques XSS aos usuários do Bing, expondo potencialmente os dados do Office 365 do cliente, como e-mails, bate-papos e documentos.”
Diretório Ativo Azure (AAD)
🔎 Com a vulnerabilidade, os pesquisadores do WIZ conseguiram alterar o resultado da busca no Bing (Imagem: Wiz Research).
A Microsoft oferece seu próprio serviço SSO no AAD, um dos mecanismos de autenticação mais comuns para aplicativos criados no Azure App Services ou Azure Functions. O AAD oferece diferentes tipos de acesso à conta: inquilino único, multilocatário, contas pessoais ou uma combinação dos dois últimos. Aplicativos de locatário único permitem apenas que usuários do mesmo locatário emitam um token OAuth para o aplicativo. Os aplicativos multilocatários, por outro lado, permitem que qualquer locatário do Azure emita um token OAuth para eles. Portanto, os desenvolvedores de aplicativos precisam examinar os tokens em seu código e decidir qual usuário tem permissão para fazer login.
“No caso do Azure App Services e do Azure Functions, vemos um exemplo clássico de confusão de responsabilidade compartilhada. Esses serviços gerenciados permitem que os usuários adicionem capacidade de autenticação com o clique de um botão, um processo aparentemente contínuo para o proprietário do aplicativo. No entanto, o serviço apenas garante a validade do token. Os proprietários de aplicativos não percebem que são responsáveis por validar a identidade do usuário por meio de declarações OAuth e fornecer acesso de acordo."
A Microsoft reagiu rapidamente e corrigiu a lacuna
“Encontramos vários aplicativos altamente eficazes e vulneráveis da Microsoft. Um desses aplicativos é um sistema de gerenciamento de conteúdo (CMS) que alimenta o Bing.com e nos permite não apenas modificar os resultados da pesquisa, mas também lançar poderosos ataques XSS aos usuários do Bing. Esses ataques podem comprometer as informações pessoais dos usuários, incluindo e-mails do Outlook e documentos do SharePoint."
Todos os problemas foram relatados à equipe do MSRC. Correção dos aplicativos vulneráveis, atualização do guia do cliente e correção de alguns recursos do AAD para reduzir a exposição do cliente. O curso técnico do ataque é descrito em um blog.
Mais em WIZ.io