/ Автор: orsecadmin | Оставить комментарий
Специалисты компании Wiz обнаружили проблему, которой дали название BingBang. Они выяснили, что неправильная конфигурация Azure Active Directory (AAD) может привести к компрометации поисковой выдачи Bing.com, XSS-атакам и взлому учетных записей пользователей Office 365. Эта ошибка принесла исследователям вознаграждение в размере 40 000 долларов США.
Эксперты обнаружили, что при создании приложений в Azure App Services и Azure Functions они могут быть неправильно сконфигурированы таким образом, что позволят практически любым пользователям входить в приложение.
Неправильные конфигурации распространены настолько широко, что примерно 25% всех подобных приложений, проверенных Wiz, имеют неправильные настройки и предоставляют полный доступ без надлежащих проверок.
Хуже того, оказалось, что в некоторых случаях неправильно настроенные приложения принадлежат самой Microsoft, что лишь подчеркивает, насколько легко ошибиться при конфигурировании Azure AD.
Ключевым моментом этого исследования стало обнаружение неправильно настроенного приложения Bing Trivia, которое позволяло любому желающему войти и получить доступ к его CMS. Дело в том, что это приложение оказалось напрямую связано с Bing.com и позволяло в режиме реального времени подменять контент, отображаемый в результатах поиска.
В качестве демонстрации найденной уязвимости исследователи успешно изменили результаты поиска по запросу «лучшие саундтреки», добавив в верхнюю карусель фильм «Хакеры» 1995 года.
Затем и вовсе выяснилось, что исследователи могут внедрить полезную нагрузку в результаты поиска Bing с помощью той же CMS, и могут выполнить XSS-атаку на Bing.com. Тест показал, что можно скомпрометировать токен Office 365 любого пользователя Bing, который увидел карусель в результатах поиска, что предоставит потенциальному атакующему полный доступ к учетной записи жертвы (включая почту в Outlook, календарь, сообщения в Teams, документы SharePoint и файлы в OneDrive).
На тот момент, помимо Bing Trivia, были обнаружены другие внутренние приложения Microsoft с аналогичными неправильными настройками. В их число вошли: панель управления для новостной рассылки MSN под названием Mag News, API центральной службы уведомлений Microsoft (Central Notification Service), Contact Center, внутренний инструмент PoliCheck, который ищет запрещенные слова в коде Microsoft, панель администратора WordPress, которая позволила экспертам Wiz публиковать поддельные сообщения на доверенном домене Microsoft.com, и, наконец, система управления файлами Cosmos от Microsoft более чем с четырьмя эксабайтами файлов.
Убедившись, что даже XSS-атака возможна, специалисты поспешили сообщить о своих выводах инженерам Microsoft (это произошло 31 января 2023 года), и на этой неделе в компании подтвердили, что проблема была окончательно исправлена 28 марта 2023 года.
В последние дни вышло множество отчётов об уязвимостях в облачной платформе Microsoft Azure. Помимо BingBang, затрагивающей поисковую систему от Microsoft, СМИ сообщили о критической уязвимости Azure Pipelines с идентификатором CVE-2023-21553, позволяющей запускать атаки на цепочки поставок программного обеспечения, и о «Super FabriXss» (CVE-2023-23383), которую можно использовать для выполнения кода и потенциального получения контроля над уязвимыми системами. По мнению экспертов, чтобы сохранить доверие клиентов и инвесторов, Microsoft необходимо уже в самом ближайшем времени кардинально изменить подход к обеспечению информационной безопасности в своих продуктах.
С заботой о вашей безопасности, команда Origin Security