Microsoft telah mengatasi kelemahan serius di Azure Active Directory yang dijuluki BingBang oleh peneliti keamanan yang menemukannya.
Kerentanan tidak hanya memungkinkan untuk memanipulasi hasil pencarian Bing, tetapi juga untuk mengakses data pribadi dari Outlook, Office 365, dan Teams. Masalahnya berasal dari kesalahan konfigurasi Azure; itu tanggal kembali ke Januari tahun ini, tetapi Microsoft baru saja menutup lubangnya.
Lihat juga:
Analis keamanan dari Wiz Research menjelaskan bahwa mereka menemukan vektor serangan baru di Azure Active Directory yang mengekspos aplikasi yang salah konfigurasi ke akses yang tidak sah. Menggambarkan kesalahan konfigurasi ini sebagai “cukup populer”, para peneliti mengatakan bahwa sekitar seperempat dari aplikasi multi-penyewa ternyata rentan.
Dalam posting blog, tim mengatakan:
Kami menemukan beberapa aplikasi Microsoft yang berdampak tinggi dan rentan. Salah satu aplikasi ini adalah sistem manajemen konten (CMS) yang mendukung Bing.com dan memungkinkan kami untuk tidak hanya mengubah hasil pencarian, tetapi juga meluncurkan serangan XSS berdampak tinggi pada pengguna Bing. Serangan tersebut dapat membahayakan data pribadi pengguna, termasuk email Outlook dan dokumen SharePoint.
Peneliti keamanan di Wiz membagikan video yang menunjukkan kerentanan sedang dieksploitasi:
Microsoft mengatakan bahwa sekarang telah “mengatasi kesalahan konfigurasi otorisasi untuk aplikasi multi-penyewa yang menggunakan Azure AD” Perusahaan mengatakan bahwa masalah tersebut “berdampak pada sejumlah kecil aplikasi internal kami”.
Merangkum tanggapannya terhadap temuan tersebut, Microsoft mengatakan:
Microsoft segera memperbaiki kesalahan konfigurasi dan menambahkan pemeriksaan otorisasi tambahan untuk mengatasi masalah tersebut dan mengonfirmasi bahwa tidak ada akses yang tidak diinginkan yang terjadi. Microsoft telah mengonfirmasi bahwa semua tindakan yang diuraikan oleh peneliti tidak lagi dimungkinkan karena perbaikan ini. Microsoft membuat perubahan tambahan untuk mengurangi risiko kesalahan konfigurasi di masa mendatang.
Detail teknis kesalahan konfigurasi tersedia di entri blog MRSC.
