Microsoft corrige nova vulnerabilidade do Azure AD que afeta a pesquisa do Bing

Nova vulnerabilidade do Azure AD

A Microsoft corrigiu um problema de configuração incorreta que afetava a identidade do Azure Active Directory ( AAD ) e o serviço de gerenciamento de acesso que expunha vários aplicativos de “alto impacto” ao acesso não autorizado.

“Um desses aplicativos é um sistema de gerenciamento de conteúdo (CMS) que alimenta o Bing.com e nos permite não apenas modificar os resultados da pesquisa, mas também lançar ataques XSS de alto impacto nos usuários do Bing”, disse a empresa de segurança em nuvem Wiz em um relatório. “Esses ataques podem comprometer os dados pessoais dos usuários, incluindo e-mails do Outlook e documentos do SharePoint”.

Os problemas foram relatados à Microsoft em janeiro e fevereiro de 2022, após o que a gigante da tecnologia aplicou correções e concedeu a Wiz uma recompensa de US $ 40.000 por bug. Redmond disse que não encontrou evidências de que as configurações incorretas foram exploradas na rede.

O cerne da vulnerabilidade decorre do que é chamado de “confusão de responsabilidade compartilhada”, em que um aplicativo do Azure pode ser configurado incorretamente para permitir usuários de qualquer locatário da Microsoft, levando a um possível caso de acesso não intencional.

Curiosamente, descobriu-se que vários aplicativos internos da própria Microsoft exibem esse comportamento, permitindo que terceiros obtenham leitura e gravação nos aplicativos afetados.

Isso inclui o aplicativo Bing Trivia, que a empresa de segurança cibernética explorou para alterar os resultados de pesquisa no Bing e até mesmo manipular o conteúdo da página inicial como parte de uma cadeia de ataque chamada BingBang.

Para piorar a situação, a exploração pode ser armada para desencadear um ataque de script entre sites (XSS) no Bing.com e extrair os e-mails, calendários, mensagens do Teams, documentos do SharePoint e arquivos do OneDrive da vítima.

“Um ator mal-intencionado com o mesmo acesso poderia ter sequestrado os resultados de pesquisa mais populares com a mesma carga útil e vazado dados confidenciais de milhões de usuários”, observou o pesquisador do Wiz, Hillai Ben-Sasson.

Outros aplicativos que foram considerados suscetíveis ao problema de configuração incorreta incluem Mag News, Central Notification Service (CNS), Contact Center, PoliCheck, Power Automate Blog e COSMOS.

O desenvolvimento ocorre quando a empresa de testes de penetração empresarial NetSPI revelou detalhes de uma vulnerabilidade entre locatários nos conectores da Power Platform que poderia ser abusada para obter acesso a dados confidenciais.

Após a divulgação responsável em setembro de 2022, a vulnerabilidade de desserialização foi resolvida pela Microsoft em dezembro de 2022.

A pesquisa também segue o lançamento de patches para corrigir o Super FabriXss (CVE-2023-23383, pontuação CVSS: 8,2), uma vulnerabilidade XSS refletida no Azure Service Fabric Explorer (SFX) que pode levar à execução remota de código não autenticado.