Microsoft已修補影響Azure Active Directory（AAD）身份和訪問管理服務(wù)的錯誤配置問題，該問題將幾個“高影響”應(yīng)用程序暴露給未經(jīng)授權(quán)的訪問。

“其中一個應(yīng)用程序是內(nèi)容管理系統(tǒng)（CMS），它支持Bing.com 并允許我們不僅修改搜索結(jié)果，而且還對Bing用戶發(fā)起高影響力的XSS攻擊，”云安全公司W(wǎng)iz說說在一份報告中?！斑@些攻擊可能會損害用戶的個人數(shù)據(jù)，包括Outlook電子郵件和SharePoint文檔?！?/p>

這些問題于2022年1月和2月報告給微軟，隨后這家科技巨頭應(yīng)用了修復(fù)程序，并向Wiz提供了4萬美元的漏洞獎金。雷德蒙?說，沒有發(fā)現(xiàn)任何證據(jù)表明這些錯誤的配置在野外被利用。

該漏洞的癥結(jié)在于所謂的“共享責(zé)任混淆”，其中Azure應(yīng)用程序可能被錯誤地配置為允許來自任何Microsoft租戶的用戶，從而導(dǎo)致潛在的意外訪問情況。

有趣的是，許多微軟自己的內(nèi)部應(yīng)用程序被發(fā)現(xiàn)表現(xiàn)出這種行為，從而允許外部各方獲得對受影響應(yīng)用程序的讀寫。

這包括Bing Trivia應(yīng)用程序，該網(wǎng)絡(luò)安全公司利用該應(yīng)用程序來改變Bing中的搜索結(jié)果，甚至操縱主頁上的內(nèi)容，作為被稱為BingBang的攻擊鏈的一部分。

更糟糕的是，該漏洞可能被武器化，以觸發(fā)對www.example.com的跨站腳本（XSS）攻擊Bing.com，并提取受害者的Outlook電子郵件，日歷，團隊消息，SharePoint文檔和OneDrive文件。

Wiz研究員Hillai Ben-Sasson指出：“具有相同訪問權(quán)限的惡意行為者可能會劫持具有相同有效負(fù)載的最受歡迎的搜索結(jié)果，并泄露數(shù)百萬用戶的敏感數(shù)據(jù)。”

其他被發(fā)現(xiàn)易受配置錯誤問題影響的應(yīng)用程序包括Mag News，Central Notification Service（CNS），Contact Center，PoliCheck，Power Automate Blog和COSMOS。

企業(yè)滲透測試公司NetSPI?顯露的?中的跨租戶漏洞的詳細(xì)信息?Power Platform連接器可能被濫用來獲取敏感數(shù)據(jù)。

在2022年9月進行負(fù)責(zé)任的披露后，微軟于2022年12月解決了反序列化漏洞。

該研究還遵循發(fā)布修補程序進行補救?超級FabriXss（CVE-2023-23383，CVSS評分：8.2），這是Azure Service Fabric Explorer（SFX）中反映的XSS漏洞，可能導(dǎo)致未經(jīng)身份驗證的遠(yuǎn)程代碼執(zhí)行。

稿源：TheHackerNews.com

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/