構成の誤りにより、Bing と Microsoft 365 がハッカーに対して脆弱になりました

最近、Bing で多くのことが起こっています。 の AIの統合 多くの新機能により、検索エンジンは常に改善されています。 しかし、多くの新しいことが起こっているため、一部の脆弱性も増加しています。 アズール ユーザーのデータを危険にさらした AD。 この設定ミスにより、Bing と マイクロソフト 365 ハッカーに対して脆弱です。

での研究によって最初に発見されました ウィズ、Azure Active Directory で構成ミスが検出されました。 悪用された場合、ハッカーは不適切に構成されたアプリケーションへの不正アクセスを許可されます。 Wiz のレポートによると、マルチテナント アプリケーションの約 25% が脆弱でした。 彼らは、脆弱なアプリケーションを修正した MSRC チームに問題を報告しました。

による 報告 MSRC によると、この構成ミスについてマイクロソフト セキュリティ レスポンス センターによってリリースされました。、「一部のアプリはマルチテナント アプリケーションとして正しく構成されておらず、他のマルチテナント アプリケーションは正しく処理されませんでした。 認可チェックが行われ、明示的に登録されていないクライアントからテナント内のリソースへのアクセスが誤って認可された可能性があります。 あのテナント。」

この脆弱性は 2023 年 1 月 31 日に Wiz の研究者によって報告され、バグは 31 日に MSRC によって最初に修正されました。 1 月自体ですが、MSRC はすべての問題を修正するのに長い時間がかかり、すべてのバグは 3 月 20 日に MSRC によって修正されました。 2023. このバグは 2023 年 3 月 29 日に公開されました。

この問題は現在修正されており、ハッカーや悪意のあるグループによるこの脆弱性の悪用に関する公式の報告はありません。 データの安全性の問題が再び浮上しています。 TechCult に注目して、テクノロジーの世界で起こっているすべてのこととつながってください。

ソース: ウィズブログ