Microsoft, kendi Azure Active Directory – AAD yapılandırma zorluklarının kurbanı oldu. Yanlış yapılandırma nedeniyle uzmanlar, Microsoft 365 kullanıcılarını açığa çıkaran bazı Bing arama sonuçlarına kötü amaçlı kod eklemeyi başardı.
Wiz Research uzmanları yapılandırma hatalarını buldu ve bunları test için kullandı. Microsoft, uzmanları bir BugBounty ile ödüllendirdi ve hataları hemen düzeltti. Ne oldu? Uzmanlar olayı şöyle anlatıyor:
Kötü amaçlı kod dahil olmak üzere manipüle edilmiş Bing arama sonuçları
"Bu uygulamalar, çeşitli hassas Microsoft verilerini görüntülememize ve değiştirmemize olanak sağladı. Belirli bir durumda, Bing.com'daki arama sonuçlarını manipüle edebildik ve Bing kullanıcılarına XSS saldırıları gerçekleştirerek potansiyel olarak e-postalar, sohbetler ve belgeler gibi müşteri Office 365 verilerini ifşa edebildik."
Azure Aktif Dizini (AAD)
🔎 Güvenlik açığı ile WIZ araştırmacıları, Bing'deki arama sonucunu değiştirmeyi başardı (Resim: Wiz Research).
Microsoft, Azure App Services veya Azure Functions'ta yerleşik uygulamalar için en yaygın kimlik doğrulama mekanizmalarından biri olan AAD'de kendi SSO hizmetini sunar. AAD, farklı hesap erişimi türleri sunar: tek kiracı, çok kiracı, kişisel hesaplar veya son ikisinin birleşimi. Tek kiracılı uygulamalar, yalnızca aynı kiracıdaki kullanıcıların uygulamaya bir OAuth belirteci vermesine izin verir. Çok kiracılı uygulamalar ise herhangi bir Azure kiracısının kendisine bir OAuth belirteci vermesine izin verir. Bu nedenle, uygulama geliştiricilerin kodlarındaki belirteçleri incelemeleri ve hangi kullanıcının oturum açmasına izin verildiğine karar vermeleri gerekir.
"Azure Uygulama Hizmetleri ve Azure İşlevleri söz konusu olduğunda, paylaşılan sorumluluk karmaşasına dair bir ders kitabı örneği görüyoruz. Bu yönetilen hizmetler, kullanıcıların, uygulama sahibi için görünüşte sorunsuz bir süreç olan, bir düğmeyi tıklatarak kimlik doğrulama yeteneği eklemesine olanak tanır. Ancak hizmet yalnızca belirtecin geçerliliğini sağlar. Uygulama sahipleri, kullanıcının kimliğini OAuth talepleri aracılığıyla doğrulamaktan ve buna göre erişim sağlamaktan sorumlu olduklarının farkında değiller."
Microsoft hızlı tepki verdi ve açığı düzeltti
"Son derece etkili, savunmasız birkaç Microsoft uygulaması bulduk. Bu uygulamalardan biri, Bing.com'a güç veren ve yalnızca arama sonuçlarını değiştirmemize değil, aynı zamanda Bing kullanıcılarına güçlü XSS saldırıları başlatmamıza izin veren bir içerik yönetim sistemidir (CMS). Bu saldırılar, Outlook e-postaları ve SharePoint belgeleri dahil olmak üzere kullanıcıların kişisel bilgilerini tehlikeye atabilir."
Tüm sorunlar MSRC ekibine rapor edilmiştir. Güvenlik açığı bulunan uygulamalar düzeltildi, müşteri kılavuzu güncellendi ve müşteri maruziyetini azaltmak için bazı AAD özellikleri yamalandı. Saldırının teknik seyri bir blogda anlatılıyor.
WIZ.io'da daha fazlası