Корпорація Майкрософт стала жертвою власних проблем із конфігурацією Azure Active Directory – AAD. Через неправильну конфігурацію експертам вдалося додати шкідливий код до деяких результатів пошуку Bing, що викрило користувачів Microsoft 365.
Експерти Wiz Research виявили помилки конфігурації та використали їх для тестування. Microsoft нагородила експертів BugBounty та негайно виправила помилки. Що сталося? Експерти описують інцидент:
Маніпуляція результатами пошуку Bing, включаючи шкідливий код
«Ці програми дозволили нам переглядати та змінювати різні типи конфіденційних даних Microsoft. В одному конкретному випадку нам вдалося маніпулювати результатами пошуку на Bing.com і здійснити XSS-атаки на користувачів Bing, потенційно відкриваючи дані клієнтів Office 365, такі як електронні листи, чати та документи».
Azure Active Directory (AAD)
🔎 Завдяки вразливості дослідники WIZ змогли змінити результат пошуку в Bing (Зображення: Wiz Research).
Корпорація Майкрософт пропонує власну службу єдиного входу в AAD, один із найпоширеніших механізмів автентифікації для програм, створених у Службах програм Azure або Функціях Azure. AAD пропонує різні типи доступу до облікових записів: один клієнт, багатокористувач, особисті облікові записи або комбінація двох останніх. Програми з одним клієнтом дозволяють лише користувачам з одного клієнта видавати програмі маркер OAuth. З іншого боку, мультитенантні програми дозволяють будь-якому клієнту Azure видавати їм маркер OAuth. Тому розробникам додатків потрібно вивчити маркери у своєму коді та вирішити, кому з користувачів дозволено ввійти.
«У випадку із службами додатків Azure та функціями Azure ми бачимо хрестоматійний приклад плутанини спільної відповідальності. Ці керовані служби дозволяють користувачам додавати можливість автентифікації одним натисканням кнопки, що, здавалося б, безпроблемний процес для власника програми. Однак сервіс лише забезпечує дійсність токена. Власники додатків не усвідомлюють, що вони несуть відповідальність за перевірку особи користувача за допомогою претензій OAuth і надання відповідного доступу».
Microsoft швидко відреагувала і усунула прогалину
«Ми знайшли кілька високоефективних і вразливих програм Microsoft. Однією з цих програм є система керування вмістом (CMS), яка підтримує Bing.com і дозволяє нам не лише змінювати результати пошуку, а й запускати потужні XSS-атаки на користувачів Bing. Ці атаки можуть скомпрометувати особисту інформацію користувачів, включаючи електронні листи Outlook і документи SharePoint».
Про всі проблеми було повідомлено команду MSRC. Виправлено вразливі додатки, оновлено посібник користувача та виправлено деякі функції AAD, щоб зменшити ризики для клієнтів. Технічний хід атаки описано в блозі.
Більше на WIZ.io