A Microsoft acaba de corrigir uma falha de configuração incorreta no serviço de gerenciamento de acesso e identidade do Azure Active Directory. Esse problema fazia com que ficassem expostos vários aplicativos da Microsoft, incluindo o portal de gerenciamento do Bing, a acesso não autorizado.
Essa vulnerabilidade foi descoberta pela Wiz Research, que determinou que cerca de 25% dos aplicativos multilocatários eram vulneráveis.
Encontramos vários aplicativos vulneráveis e de alto impacto da Microsoft. Um desses aplicativos é um sistema de gerenciamento de conteúdo (CMS) que alimenta o Bing.com e nos permite não apenas modificar os resultados da pesquisa, mas também lançar ataques XSS de alto impacto nos usuários do Bing.
Esses ataques podem comprometer os dados pessoais dos usuários, incluindo e-mails do Outlook e documentos do SharePoint.
Wiz Research
Microsoft corrige falha no Azure Active Directory
Os problemas foram relatados à Microsoft em janeiro e fevereiro de 2022, quando a empresa aplicou correções e concedeu a Wiz uma recompensa de US $ 40.000 (cerca de R$ 202,5 mil) por bug. De acordo com a Microsoft, ela não encontrou evidências de que as configurações incorretas foram exploradas na natureza.
A vulnerabilidade está relacionada a uma configuração incorreta em “confusão de responsabilidade compartilhada”. O modelo de responsabilidade compartilhada permite que os proprietários de aplicativos adicionem uma função de autenticação simplesmente clicando em um botão. Os especialistas apontaram que a falha tem um impacto severo, principalmente em aplicativos multilocatários sem a devida validação, pois qualquer usuário do Azure poderá fazer login no aplicativo.
Isso significa que vários aplicativos Microsoft permitem que terceiros obtenham leitura e gravação nos aplicativos afetados. Os pesquisadores detalharam um estudo de caso sobre o aplicativo “Bing Trivia”, que eles chamaram de “#BingBang”, que demonstra como a configuração incorreta afeta a Microsoft.
Exploração da falha
A Wiz Research explicou que um invasor pode explorar a falha para direcionar o aplicativo Bing Trivia para alterar os resultados da pesquisa no Bing e até mesmo manipular o conteúdo da página inicial como parte do ataque BingBang.
Além disso, os especialistas também demonstraram como transformar o problema em uma arma para acionar um ataque de script entre sites (XSS) no Bing.com e extrair dados confidenciais, e-mails do Outlook, calendários, arquivos do OneDrive e muito mais.
Eles descobriram que outros aplicativos foram afetados pelo problema de configuração incorreta, incluindo Mag News, Central Notification Service (CNS), Contact Center, PoliCheck, Power Automate Blog e COSMOS.