Bu yılın başlarında milyonlarca Microsoft 365 hesabının güvenliğini tehlikeye atabilecek bir güvenlik açığı bulundu. Wiz’deki araştırmacılar, Azure’da Bing’in CMS’sine erişmek ve Teams, Outlook ve Office paketi gibi Microsoft uygulamalarından hassas bilgileri toplamak için kullanılabilecek bir delik tespit etti. Hata Azure’da keşfedildi.
Wiz’de Hillai Ben-Sasson adlı bir bulut güvenlik araştırmacısı, şirketin Bing arama sonuçlarını nasıl manipüle edebildiğini ve “milyonlarca Office 365 hesabını kontrol altına alabildiğini” açıkladı.
Araştırmacılar, kendi Azure kullanıcılarıyla Bing Trivia’da oturum açtıktan sonra Bing.com’a bağlı bir CMS keşfettiler. Bu keşif, araştırmacıların internette taranan çok kiracılı uygulamaların %25’inin savunmasız olduğunu keşfetmesinden sonra yapıldı. Bu uygulamalardan biri, “Bing Trivia” adlı Microsoft yapımı bir uygulamaydı. Wiz, yaptığı bir çalışmada, Azure Active Directory (AAD) uygulamalarının çok kiracılı olarak kurulumuna sahip olan ve izin denetimlerinden yoksun kuruluşların, halihazırda gerçekleşmiş olanlarla aynı veya çok benzer saldırılara karşı savunmasız olduğu konusunda uyardı. Bu nedenle, yöneticiler çok kiracılı erişimin doğru ayarlandığından emin olmalı veya çoklu kiracılık gerekli değilse tek kiracılı kimlik doğrulamasına geçmelidir. Çoklu kiracılık gerekmiyorsa, yöneticiler tek kiracılı kimlik doğrulamasına geçmelidir. Ayrıca, herhangi bir önceki etkinlik için günlükleri duyarlı programlar açısından kontrol etmeniz önerilir.
Buna ek olarak, CMS’de saklanan bir terimin içeriğini anlık olarak değiştirerek Bing.com’daki keyfi arama sonuçlarını etkileme yeteneklerini gösterdiler. Kötü niyetli biri Bing Trivia uygulama sayfasına erişirse, kullanıcıları kişisel bilgilerini ifşa etmeye zorlamak amacıyla arama sonuçlarını manipüle edebilir, sahte bilgiler yayabilir ve diğer web sitelerinin kimliğine bürünebilir. Bir tehdit aktörünün, SharePoint ve Outlook’ta saklanan belgelere ve e-postalara erişim kazanması mümkündür. OneDrive’da depolanan dosyalar, Outlook’taki takvimler ve Teams aracılığıyla gönderilen konuşmaların tümü herkese açık hale gelme tehlikesiyle karşı karşıyaydı.
Araştırmacılar, siteler arası komut dosyası çalıştırma (XSS) adı verilen bir teknik kullanarak herhangi bir Bing kullanıcısının Office 365 belirtecini tehlikeye atmanın mümkün olduğunu ortaya çıkardılar. Kullanıcılar, Bing ve Office 365 arasındaki entegrasyon sayesinde mümkün olan Bing’in “Çalışma” alanını kullanarak Office 365 verilerini arayabilirler. Araştırmacılar, bu özelliği kullanarak bir XSS yükü oluşturmayı başardılar. kullanıcıların Office 365 erişim belirteçlerini çalın.
Bir saldırgan çalınan bir belirteci ele geçirirse, Bing kullanıcılarının Office 365 verilerine erişebilecektir. Bu, kullanıcıların Outlook e-postalarını, takvimlerini, Teams sohbetlerini, SharePoint belgelerini ve OneDrive dosyalarını içerir. Milyonlarca kullanıcının hileli arama sonuçlarına maruz kalma ve Office 365 verilerinin çalınma potansiyeli vardı.
Bing.com’da bulunan güvenlik kusuru, bir geliştiricinin görünüşte küçük bir ihmalinin bile, dünyanın en çok ziyaret edilen web sitelerinden birini çökertme potansiyeli de dahil olmak üzere önemli sonuçlara yol açabileceği konusunda zamanında bir uyarı görevi görüyor. Bulut tarafından sağlanan altyapının uyarlanabilirliği inovasyonu hızlandırmaya yardımcı olur, ancak aynı zamanda değişiklikleri ve yeni tehditleri de beraberinde getirir.
Wiz, Microsoft’u Bing’deki güvenlik açığı hakkında bilgilendirdi ve yazılım devi, uyarıyı aldıktan hemen sonra hatayı düzeltti. 25 Şubat 2023’te araştırma şirketi, güvenlik açıkları içeren başka programların varlığı konusunda Microsoft’u uyardı. 20 Mart 2023’te Microsoft, sorunla ilişkili tüm sorunların çözüldüğünü Wiz’e doğruladı.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.