Błędna konfiguracja sprawiła, że ​​Bing i Microsoft 365 stały się podatne na ataki hakerów

Sporo się ostatnio dzieje z Bingiem. The integracja AI i wiele nowszych funkcji stale ulepszało wyszukiwarkę. Ale wraz z wieloma nowymi rzeczami pojawiły się również pewne luki w zabezpieczeniach Lazur AD, który naraził dane użytkowników na niebezpieczeństwo. Ta błędna konfiguracja spowodowała, że ​​Bing i Microsoft365 podatny na ataki hakerów.

Po raz pierwszy odkryta przez Researches at Czarodziej, wykryto błędną konfigurację w usłudze Azure Active Directory. Jeśli zostanie wykorzystany, haker uzyska nieautoryzowany dostęp do źle skonfigurowanych aplikacji. Według raportu firmy Wiz około 25% aplikacji obsługujących wielu dzierżawców było na nie narażonych. Zgłosili problemy zespołowi MSRC, który teraz naprawił podatną na ataki aplikację.

Według raport wydany przez Microsoft Security Response Center w związku z tą błędną konfiguracją, powiedział MSRC, „niektóre aplikacje zostały nieprawidłowo skonfigurowane jako aplikacje dla wielu dzierżawców, a inne aplikacje dla wielu dzierżawców nie działały poprawnie kontroli autoryzacji i może mieć nieprawidłowo autoryzowany dostęp do zasobu w dzierżawie od klienta, który nie został jawnie zarejestrowany ten najemca.

Luka została zgłoszona przez badacza Wiz 31 stycznia 2023 r., a błąd został początkowo naprawiony przez MSRC 31 stycznia 2023 r. Sam styczeń, ale naprawienie wszystkich problemów zajęło MSRC dużo czasu, a wszystkie błędy zostały naprawione przez MSRC 20 marca 2023. Błąd został publicznie ujawniony 29 marca 2023 r.

Ponieważ problem został już rozwiązany, nie pojawiły się żadne oficjalne doniesienia o wykorzystaniu tej luki przez hakerów lub inne złośliwe grupy. Ponownie pojawia się kwestia bezpieczeństwa danych. Bądź na bieżąco z TechCult, aby być w kontakcie ze wszystkim, co dzieje się w świecie technologii.

Źródło: Blog Wiza