Güvenlik araştırmacıları, Azure Active Directory’de (AAD) Microsoft Bing’in arama sonuçlarını değiştirmelerine olanak tanıyan ve potansiyel olarak milyonlarca Bing kullanıcısının kişisel verilerini ifşa eden ve tehlikeye atan yeni bir saldırı vektörü saptadı.
BT güvenlik şirketi Wiz tarafından yayınlanan bir raporda araştırmacılar, yaygın bir AAD yanlış yapılandırmasına dayanan saldırı vektörünün hatalı yapılandırılmış uygulamalara yetkisiz erişime nasıl izin verdiğini vurguladı.
Çeşitli Microsoft uygulamaları ve Bing’e güç sağlayan İçerik Yönetim Sistemi (CMS) savunmasız bırakıldı. Raporda, bu sayede “Bing.com işlevselliğini devralabildiklerini, arama sonuçlarını değiştirebildiklerini ve potansiyel olarak milyonlarca Bing kullanıcısının Office 365 kimlik bilgilerinin çalınmasını sağlayabildiklerini” belirtti.
Bu kimlik bilgilerinin yardımıyla araştırmacılar, kullanıcıların özel e-postalarına ve belgelerine kolayca erişebildi.
Araştırma ayrıca, güvenlik açığının “tek bir kod satırı” olmadan nasıl kolayca kullanılabileceğinin altını çizdi.
Araştırmanın ardından, tespit edilen sorunlar Microsoft’a ifşa edildi ve raporda, AAD işlevini “müşteri maruziyetini azaltmak” ve “savunmasız uygulamalarını düzeltmek” için değiştiren rapor belirtildi.
Microsoft yetkilendirme yanlış yapılandırması nasıl tanımlandı?
Wiz araştırmacıları, Bing arama motorunda arama sonuçlarını kullanarak red teaming gerçekleştirerek dahili uygulamaların harici tehdit aktörlerine nasıl maruz kaldığını ortaya çıkardı.
Ayrıca Bing’e XXS saldırıları gerçekleştirdiler ve bu saldırılar Microsoft Office 365 kullanıcı verilerinin Microsoft yetkilendirme yapılandırma hatasından yararlanılarak savunmasız olduğunun keşfedilmesine yol açtı.
Güvenlik açığı bulunan kullanıcı verileri dahil –
- E-mail adresleri
- SharePoint belgeleri
- sohbet mesajları
- Outlook e-postaları
- Takvim girişleri
- OneDrive dosyaları
Çoklu Oturum Açma (SSO), Azure Uygulama Hizmetlerinde bir kimlik doğrulama mekanizmasıdır. AAD, tek kiracı, çok kiracı, ikisinin kombinasyonu, kişisel hesaplar vb. dahil olmak üzere hesap erişimi sunar.
Siber suçlular bir kimlik doğrulama işlevi ekleme, uygulamada oturum açma, İçerik Yönetim Sistemine (CMS) erişme vb. fırsatlara sahipti.
Microsoft Bing yetkilendirme hatalı yapılandırmasını açıklayan örnek olay incelemesi
Etkilenen Microsoft uygulamaları şunları içeriyordu:
- MSN haber bültenlerine hizmet veren Mag News
- Microsoft’un merkezi bildirim hizmeti olarak çalışan CNS API
- Şirketin çağrı merkezi temsilcilerine hitap eden İletişim Merkezi
- Microsoft kodlarında yasak sözcükleri filtreleyen PoliCheck
- Bir WordPress yönetici paneli olan Power Automate Blogu
- Bir dosya yönetim sistemi olan Cosmos
Microsoft Kimlik Doğrulaması Yanlış Yapılandırmasındaki “BingBang”
Bu saldırı vektörüne “BingBang” adını veren araştırmacılar, yanlış yapılandırmanın istismar edilebilirliğini derinlemesine inceledi. Diğer sorunların yanı sıra veri kaybını ve gizlilik ihlallerini önleyen örnek niteliğindeki araştırmaları için 40.000 dolarlık bir hata ödülü aldılar.
Bir bingtrivia.azurewebsites.net hesabı oluşturmaya çalışırken, Microsoft kiracısının bir parçası olmamasına rağmen oturum açmaya izin verildiği tespit edildi.
Birkaç temel Bing içeriği ekrana yansıtıldı ve bu da araştırmacıları Bing’deki tablo şeklindeki ‘Atlı Karıncalar’ bölümünün, sınavların ve arka plan resimlerinin vb. kullanılabilirliği üzerinde düşünmeye yöneltti.
Döngünün CMS’de değiştirilmeye açık olduğu, değişikliklerin geri alınabileceği, kaydedilebileceği veya Bing.com’a yansıyacak şekilde daha fazla düzenlenebileceği bulundu. Bing başlığına, küçük resmine ve isteğe bağlı bağlantıya yansıyacaktır.
Ana sayfasındaki sonuçlar da dahil olmak üzere Bing arama sonuçları, Microsoft kimlik doğrulama atlaması kötüye kullanılarak kontrol edilmiş olabilir.
Bu kimlik doğrulama atlamasının etkisini daha iyi anlamak için XSS uygulanabilirliği, zararsız bir yük ile test edildi. Bu, Wiz’e yetkisiz erişimin kapsamını doğruladı.
Microsoft’ta önceden bildirilen hatalar
Daha önce Wiz, Ocak ayında Bing’deki hataları Microsoft’a bildirdi ve bunlar aynı gün hemen düzeltildi. 25 Şubat’ta bildirilen diğer güvenlik açıkları, 20 Mart’ta sona eren 27 Şubat’tan itibaren giderildi.