 |
Microsoft ha solucionado un problema de desconfiguración que afectaba al servicio de gestión de identidades y accesos Azure Active Directory (AAD) y que exponía varias aplicaciones de "alto impacto" a accesos no autorizados. "Una de estas aplicaciones es un sistema de gestión de contenidos (CMS) que alimenta Bing.com y que permitía no sólo modificar los resultados de búsqueda, sino también lanzar ataques XSS de alto impacto contra los usuarios de Bing", afirma en un informe la empresa de seguridad en la nube Wiz. "Esos ataques podían comprometer los datos personales de los usuarios, incluidos los correos electrónicos de Outlook y los documentos de SharePoint". |
Los problemas se comunicaron a Microsoft en enero y febrero de 2022, tras lo cual el gigante tecnológico aplicó correcciones y concedió a Wiz una recompensa por fallos de 40.000 dólares. Los de Redmond afirman que no han encontrado pruebas de que los errores de configuración hayan sido explotados.
El quid de la vulnerabilidad radica en lo que se denomina "confusión de responsabilidad compartida", en la que una aplicación de Azure puede configurarse incorrectamente para permitir el acceso a usuarios de cualquier arrendatario de Microsoft, lo que puede dar lugar a un caso de acceso no intencionado.
Curiosamente, se descubrió que varias aplicaciones internas de Microsoft mostraban este comportamiento, lo que permitía a terceros leer y escribir en las aplicaciones afectadas.
Esto incluye la aplicación Bing Trivia, que la empresa de ciberseguridad explotó para alterar los resultados de búsqueda en Bing e incluso manipular el contenido de la página de inicio como parte de una cadena de ataque apodada BingBang.
Para empeorar las cosas, el exploit podría ser utilizado como arma para desencadenar un ataque de cross-site scripting (XSS) en Bing.com y extraer los correos electrónicos de Outlook, calendarios, mensajes de Teams, documentos de SharePoint y archivos de OneDrive de la víctima.
Para empeorar las cosas, el exploit podría ser utilizado como arma para desencadenar un ataque de secuencias de comandos entre sitios (XSS) en Bing.com y extraer los correos electrónicos de Outlook, calendarios, mensajes de Teams, documentos de SharePoint y archivos de OneDrive de la víctima.
"Un atacante con el mismo acceso podría haber secuestrado los resultados de búsqueda más populares con la misma carga útil y filtrar datos confidenciales de millones de usuarios", señaló Hillai Ben-Sasson, investigador de Wiz.
Otras aplicaciones susceptibles de sufrir este fallo de configuración son Mag News, Central Notification Service (CNS), Contact Center, PoliCheck, Power Automate Blog y COSMOS.
El desarrollo se produce cuando la firma de pruebas de penetración empresarial NetSPI reveló detalles de una vulnerabilidad entre inquilinos en los conectores de Power Platform que podría ser abusada para obtener acceso a datos sensibles.
Tras la revelación responsable en septiembre de 2022, la vulnerabilidad de deserialización fue resuelta por Microsoft en diciembre de 2022.
La investigación también sigue a la publicación de parches para remediar Super FabriXss (CVE-2023-23383, puntuación CVSS: 8,2), una vulnerabilidad XSS reflejada en Azure Service Fabric Explorer (SFX) que podría conducir a la ejecución remota de código sin autenticación.
Fuente: https://thehackernews.com/2023/04/microsoft-fixes-new-azure-ad.html