01 Nis 2023Ravie LakshmananAzure / Aktif Dizin
Microsoft, Azure Active Directory’yi etkileyen bir yanlış yapılandırma sorununu düzeltti (AAD) birkaç “yüksek etkili” uygulamayı yetkisiz erişime maruz bırakan kimlik ve erişim yönetimi hizmeti.
Bulut güvenlik şirketi Wiz, “Bu uygulamalardan biri, Bing.com’a güç veren ve yalnızca arama sonuçlarını değiştirmemize değil, aynı zamanda Bing kullanıcılarına yüksek etkili XSS saldırıları başlatmamıza da izin veren bir içerik yönetim sistemidir (CMS).” söz konusu bir raporda. “Bu saldırılar, Outlook e-postaları ve SharePoint belgeleri dahil olmak üzere kullanıcıların kişisel verilerini tehlikeye atabilir.”
Sorunlar Ocak ve Şubat 2022’de Microsoft’a bildirildi ve ardından teknoloji devi düzeltmeleri uyguladı ve Wiz’e 40.000 $’lık bir hata ödülü verdi. Redmond söz konusu yanlış yapılandırmaların vahşi ortamda istismar edildiğine dair hiçbir kanıt bulamadı.
Güvenlik açığının özü, “Paylaşılan Sorumluluk karışıklığı” olarak adlandırılan ve bir Azure uygulamasının herhangi bir Microsoft kiracısından kullanıcılara izin verecek şekilde yanlış bir şekilde yapılandırılarak istenmeyen erişim vakasına yol açmasından kaynaklanmaktadır.
İlginç bir şekilde, Microsoft’un kendi dahili uygulamalarından bazılarının bu davranışı sergilediği ve böylece harici tarafların etkilenen uygulamaları okuma ve yazmalarına izin verdiği bulundu.
Buna, siber güvenlik firmasının Bing’deki arama sonuçlarını değiştirmek ve hatta BingBang adlı bir saldırı zincirinin parçası olarak ana sayfadaki içeriği değiştirmek için kullandığı Bing Trivia uygulaması da dahildir.
Daha da kötüsü, istismar Bing.com’da bir siteler arası komut dosyası çalıştırma (XSS) saldırısını tetiklemek ve bir kurbanın Outlook e-postalarını, takvimlerini, Teams mesajlarını, SharePoint belgelerini ve OneDrive dosyalarını çıkarmak için silah haline getirilebilir.
Wiz araştırmacısı Hillai Ben-Sasson, “Aynı erişime sahip kötü niyetli bir aktör, aynı yük ve milyonlarca kullanıcının sızıntıya duyarlı verileriyle en popüler arama sonuçlarını ele geçirebilirdi” dedi.
Yanlış yapılandırma sorununa açık olduğu tespit edilen diğer uygulamalar arasında Mag News, Central Notification Service (CNS), Contact Center, PoliCheck, Power Automate Blog ve COSMOS yer alıyor.
Geliştirme, kurumsal penetrasyon testi şirketi NetSPI olarak geliyor açıklığa kavuşmuş kiracılar arası bir güvenlik açığının ayrıntıları Güç Platformu konektörleri hassas verilere erişmek için kötüye kullanılabilir.
Eylül 2022’deki sorumlu ifşanın ardından, seri durumdan çıkarma güvenlik açığı Aralık 2022’de Microsoft tarafından çözüldü.
Araştırma ayrıca, Azure Service Fabric Explorer’da (SFX) kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek yansıyan bir XSS güvenlik açığı olan Super FabriXss’i (CVE-2023-23383, CVSS puanı: 8.2) düzeltmek için yamaların yayınlanmasını takip ediyor.