قامت Microsoft بتصحيح مشكلة تكوين خاطئ تؤثر على هوية Azure Active Directory ( AAD ) وخدمة إدارة الوصول التي كشفت العديد من التطبيقات "عالية التأثير" للوصول غير المصرح به.
قالت شركة الأمان السحابية Wiz في تقرير: "أحد هذه التطبيقات هو نظام إدارة المحتوى (CMS) الذي يدعم Bing.com ويسمح لنا ليس فقط بتعديل نتائج البحث ، ولكن أيضًا إطلاق هجمات XSS عالية التأثير على مستخدمي Bing". "يمكن أن تعرض هذه الهجمات البيانات الشخصية للمستخدمين للخطر ، بما في ذلك رسائل البريد الإلكتروني في Outlook ومستندات SharePoint."
تم الإبلاغ عن المشكلات إلى Microsoft في يناير وفبراير 2022 ، وبعد ذلك طبقت شركة التكنولوجيا العملاقة إصلاحات ومنحت Wiz مكافأة خطأ قدرها 40 ألف دولار. وقالت ريدموند إنها لم تجد أي دليل على استغلال التكوينات الخاطئة في البرية.
ينبع جوهر الثغرة الأمنية مما يسمى "ارتباك المسؤولية المشتركة" ، حيث يمكن تكوين تطبيق Azure بشكل غير صحيح للسماح للمستخدمين من أي مستأجر من Microsoft ، مما يؤدي إلى حالة محتملة من الوصول غير المقصود.
ومن المثير للاهتمام ، أنه تم العثور على عدد من التطبيقات الداخلية الخاصة بشركة Microsoft تعرض هذا السلوك ، مما يسمح للأطراف الخارجية بالحصول على القراءة والكتابة إلى التطبيقات المتأثرة.
يتضمن ذلك تطبيق Bing Trivia ، الذي استغلت شركة الأمن السيبراني لتغيير نتائج البحث في Bing وحتى التلاعب بالمحتوى على الصفحة الرئيسية كجزء من سلسلة هجوم يطلق عليها اسم BingBang.
لجعل الأمور أكثر سوءًا ، يمكن تسليح الاستغلال لإطلاق هجوم البرمجة النصية عبر المواقع (XSS) على Bing.com واستخراج رسائل البريد الإلكتروني الخاصة بالضحية والتقويمات ورسائل الفرق ومستندات SharePoint وملفات OneDrive.
أشار الباحث في Wiz Hillai Ben-Sasson إلى أن "ممثلًا ضارًا له نفس الوصول يمكنه اختطاف نتائج البحث الأكثر شيوعًا بنفس الحمولة وتسريب البيانات الحساسة من ملايين المستخدمين".
تشمل التطبيقات الأخرى التي تم العثور عليها عرضة لمشكلة التهيئة الخاطئة Mag News و Central Notification Service (CNS) ومركز الاتصال و PoliCheck و Power Automate Blog و COSMOS.
يأتي هذا التطوير في الوقت الذي كشفت فيه شركة NetSPI لاختبار اختراق المؤسسات عن تفاصيل ثغرة أمنية مشتركة في موصلات Power Platform التي يمكن إساءة استخدامها للوصول إلى البيانات الحساسة.
بعد الكشف المسؤول في سبتمبر 2022 ، تم حل مشكلة عدم حصانة إلغاء التسلسل بواسطة Microsoft في ديسمبر 2022.
يتبع البحث أيضًا إصدار تصحيحات لإصلاح Super FabriXss (CVE-2023-23383 ، درجة CVSS: 8.2) ، وهي ثغرة XSS منعكسة في Azure Service Fabric Explorer (SFX) والتي قد تؤدي إلى تنفيذ رمز بعيد غير مصادق.