Microsoft, birkaç “yüksek etkili” uygulamayı yetkisiz erişime maruz bırakan Azure Active Directory (AAD) kimliğini ve erişim yönetimi hizmetini etkileyen bir yanlış yapılandırma sorununu düzeltti.
Bulut güvenlik firması Wiz bir raporda, “Bu uygulamalardan biri, Bing.com’a güç veren ve yalnızca arama sonuçlarını değiştirmemize değil, aynı zamanda Bing kullanıcılarına yüksek etkili XSS saldırıları başlatmamıza da izin veren bir içerik yönetim sistemidir (CMS)” dedi. “Bu saldırılar, Outlook e-postaları ve SharePoint belgeleri dahil olmak üzere kullanıcıların kişisel verilerini tehlikeye atabilir.”
Sorunlar Ocak ve Şubat 2022’de Microsoft’a bildirildi ve ardından teknoloji devi düzeltmeleri uyguladı ve Wiz’e 40.000 $’lık bir hata ödülü verdi. Redmond, yanlış yapılandırmaların vahşi ortamda istismar edildiğine dair hiçbir kanıt bulamadığını söyledi.
Güvenlik açığının özü, “Paylaşılan Sorumluluk karışıklığı” olarak adlandırılan ve bir Azure uygulamasının herhangi bir Microsoft kiracısından kullanıcılara izin verecek şekilde yanlış bir şekilde yapılandırılarak istenmeyen erişim vakasına yol açmasından kaynaklanmaktadır.
İlginç bir şekilde, Microsoft’un kendi dahili uygulamalarından bazılarının bu davranışı sergilediği ve böylece harici tarafların etkilenen uygulamaları okuma ve yazmalarına izin verdiği bulundu.
Buna, siber güvenlik firmasının Bing’deki arama sonuçlarını değiştirmek ve hatta BingBang adlı bir saldırı zincirinin parçası olarak ana sayfadaki içeriği değiştirmek için kullandığı Bing Trivia uygulaması da dahildir.
Daha da kötüsü, istismar Bing.com’da bir siteler arası komut dosyası çalıştırma (XSS) saldırısını tetiklemek ve bir kurbanın Outlook e-postalarını, takvimlerini, Teams mesajlarını, SharePoint belgelerini ve OneDrive dosyalarını çıkarmak için silah haline getirilebilir.
Wiz araştırmacısı Hillai Ben-Sasson, “Aynı erişime sahip kötü niyetli bir aktör, aynı yük ve milyonlarca kullanıcının sızıntıya duyarlı verileriyle en popüler arama sonuçlarını ele geçirebilirdi” dedi.
Yanlış yapılandırma sorununa açık olduğu tespit edilen diğer uygulamalar arasında Mag News, Central Notification Service (CNS), Contact Center, PoliCheck, Power Automate Blog ve COSMOS yer alıyor.
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını açığa çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Geliştirme, kurumsal penetrasyon testi firması NetSPI’nin Power Platform bağlayıcılarında hassas verilere erişim elde etmek için kötüye kullanılabilecek bir çapraz kiracı güvenlik açığının ayrıntılarını ortaya çıkarmasıyla geldi.
Eylül 2022’deki sorumlu ifşanın ardından, seri durumdan çıkarma güvenlik açığı Aralık 2022’de Microsoft tarafından çözüldü.
Araştırma ayrıca, Azure Service Fabric Explorer’da (SFX) kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek yansıyan bir XSS güvenlik açığı olan Super FabriXss’i (CVE-2023-23383, CVSS puanı: 8.2) düzeltmek için yamaların yayınlanmasını takip eder.