Microsoft已修补影响Azure Active Directory(AAD)身份和访问管理服务的错误配置问题,该问题将几个“高影响”应用程序暴露给未经授权的访问。
“其中一个应用程序是内容管理系统(CMS),它支持Bing.com 并允许我们不仅修改搜索结果,而且还对Bing用户发起高影响力的XSS攻击,”云安全公司Wiz说说在一份报告中。“这些攻击可能会损害用户的个人数据,包括Outlook电子邮件和SharePoint文档。”
这些问题于2022年1月和2月报告给微软,随后这家科技巨头应用了修复程序,并向Wiz提供了4万美元的漏洞奖金。雷德蒙 说,没有发现任何证据表明这些错误的配置在野外被利用。
该漏洞的症结在于所谓的“共享责任混淆”,其中Azure应用程序可能被错误地配置为允许来自任何Microsoft租户的用户,从而导致潜在的意外访问情况。
有趣的是,许多微软自己的内部应用程序被发现表现出这种行为,从而允许外部各方获得对受影响应用程序的读写。
这包括Bing Trivia应用程序,该网络安全公司利用该应用程序来改变Bing中的搜索结果,甚至操纵主页上的内容,作为被称为BingBang的攻击链的一部分。
更糟糕的是,该漏洞可能被武器化,以触发对www.example.com的跨站脚本(XSS)攻击Bing.com,并提取受害者的Outlook电子邮件,日历,团队消息,SharePoint文档和OneDrive文件。
Wiz研究员Hillai Ben-Sasson指出:“具有相同访问权限的恶意行为者可能会劫持具有相同有效负载的最受欢迎的搜索结果,并泄露数百万用户的敏感数据。”
其他被发现易受配置错误问题影响的应用程序包括Mag News,Central Notification Service(CNS),Contact Center,PoliCheck,Power Automate Blog和COSMOS。
企业渗透测试公司NetSPI 显露的 中的跨租户漏洞的详细信息 Power Platform连接器可能被滥用来获取敏感数据。
在2022年9月进行负责任的披露后,微软于2022年12月解决了反序列化漏洞。
该研究还遵循发布修补程序进行补救 超级FabriXss(CVE-2023-23383,CVSS评分:8.2),这是Azure Service Fabric Explorer(SFX)中反映的XSS漏洞,可能导致未经身份验证的远程代码执行。
稿源:TheHackerNews.com
