聲明：該文章由作者（北街濁酒）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁鏈接。。

Microsoft已修補(bǔ)影響Azure Active Directory（AAD）身份和訪問管理服務(wù)的錯(cuò)誤配置問題，該問題將幾個(gè)“高影響”應(yīng)用程序暴露給未經(jīng)授權(quán)的訪問。

“其中一個(gè)應(yīng)用程序是內(nèi)容管理系統(tǒng)（CMS），它支持Bing.com 并允許我們不僅修改搜索結(jié)果，而且還對(duì)Bing用戶發(fā)起高影響力的XSS攻擊，”云安全公司W(wǎng)iz說說在一份報(bào)告中?！斑@些攻擊可能會(huì)損害用戶的個(gè)人數(shù)據(jù)，包括Outlook電子郵件和SharePoint文檔?！?/p>

這些問題于2022年1月和2月報(bào)告給微軟，隨后這家科技巨頭應(yīng)用了修復(fù)程序，并向Wiz提供了4萬美元的漏洞獎(jiǎng)金。雷德蒙?說，沒有發(fā)現(xiàn)任何證據(jù)表明這些錯(cuò)誤的配置在野外被利用。

該漏洞的癥結(jié)在于所謂的“共享責(zé)任混淆”，其中Azure應(yīng)用程序可能被錯(cuò)誤地配置為允許來自任何Microsoft租戶的用戶，從而導(dǎo)致潛在的意外訪問情況。

有趣的是，許多微軟自己的內(nèi)部應(yīng)用程序被發(fā)現(xiàn)表現(xiàn)出這種行為，從而允許外部各方獲得對(duì)受影響應(yīng)用程序的讀寫。

這包括Bing Trivia應(yīng)用程序，該網(wǎng)絡(luò)安全公司利用該應(yīng)用程序來改變Bing中的搜索結(jié)果，甚至操縱主頁上的內(nèi)容，作為被稱為BingBang的攻擊鏈的一部分。

更糟糕的是，該漏洞可能被武器化，以觸發(fā)對(duì)www.example.com的跨站腳本（XSS）攻擊Bing.com，并提取受害者的Outlook電子郵件，日歷，團(tuán)隊(duì)消息，SharePoint文檔和OneDrive文件。

Wiz研究員Hillai Ben-Sasson指出：“具有相同訪問權(quán)限的惡意行為者可能會(huì)劫持具有相同有效負(fù)載的最受歡迎的搜索結(jié)果，并泄露數(shù)百萬用戶的敏感數(shù)據(jù)?！?/p>

其他被發(fā)現(xiàn)易受配置錯(cuò)誤問題影響的應(yīng)用程序包括Mag News，Central Notification Service（CNS），Contact Center，PoliCheck，Power Automate Blog和COSMOS。

企業(yè)滲透測(cè)試公司NetSPI?顯露的?中的跨租戶漏洞的詳細(xì)信息?Power Platform連接器可能被濫用來獲取敏感數(shù)據(jù)。

在2022年9月進(jìn)行負(fù)責(zé)任的披露后，微軟于2022年12月解決了反序列化漏洞。

該研究還遵循發(fā)布修補(bǔ)程序進(jìn)行補(bǔ)救?超級(jí)FabriXss（CVE-2023-23383，CVSS評(píng)分：8.2），這是Azure Service Fabric Explorer（SFX）中反映的XSS漏洞，可能導(dǎo)致未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行。

稿源：TheHackerNews.com

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/