Microsoft ha corretto una vulnerabilità ad alta gravità nel suo motore di ricerca Bing, che consentiva a potenziali attori di minacce non solo di alterare i risultati delle ricerche, ma anche di accedere ai dati Office 365 delle persone.
I ricercatori di cybersicurezza di Wiz hanno scoperto la falla nel gennaio 2023, identificandola come una configurazione errata del servizio di gestione delle identità e degli accessi Azure Active Directory (AAD) nella piattaforma cloud Azure di Microsoft.
Oltre a modificare i risultati dei motori di ricerca, la falla potrebbe consentire l'accesso ai dati Office 365 di altre persone, come e-mail di Outlook, calendari, messaggi di Teams, file di OneDrive e altro ancora.
Un evento comune
Alcune applicazioni su Azure possono utilizzare permessi multi-tenant e quindi essere accessibili da qualsiasi utente Azure. Ciò significa che gli sviluppatori devono impostare un modo per convalidare gli utenti e tenere sotto controllo chi può accedere a cosa. Secondo The Verge, è qui che molti sbagliano, poiché le configurazioni errate in questo senso sono "un evento comune". Wiz afferma che il 25% di tutte le app multi-tenant analizzate non disponeva di una buona convalida.
Questo è esattamente ciò che è accaduto a Bing Trivia e che ha permesso ai ricercatori di accedere con i propri account Azure. Una volta effettuato l'accesso, hanno ottenuto l'accesso a un sistema di gestione dei contenuti (CMS) che ha permesso loro di modificare i risultati di ricerca in tempo reale di Bing. I ricercatori hanno dichiarato di non aver fatto nulla di spettacolare: chiunque sapesse come raggiungere la pagina di Bing Trivia avrebbe potuto fare lo stesso.
Oltre ad alterare i risultati dei motori di ricerca, i ricercatori hanno scoperto di aver avuto accesso ai dati di Office 365 di altre persone, come e-mail di Outlook, calendari, messaggi di Teams, file di OneDrive e altro ancora. I ricercatori hanno effettuato un test su una finta casella di posta elettronica e hanno confermato la vulnerabilità. Ma la portata della vulnerabilità non si esaurisce qui: ci sono più di 1.000 applicazioni e siti web sul cloud di Microsoft che avevano configurazioni errate simili, come Mag News, PoliCheck, Cosmos e altri.
"Un potenziale aggressore avrebbe potuto influenzare i risultati di ricerca di Bing e compromettere le e-mail di Microsoft 365 e i dati di milioni di persone", ha dichiarato Ami Luttwak, chief technology officer di Wiz, al Wall Street Journal. "Potrebbe trattarsi di uno Stato nazionale che cerca di influenzare l'opinione pubblica o di un hacker con motivazioni finanziarie".
Microsoft è stata avvisata il 31 gennaio e il 20 marzo ha risolto completamente la vulnerabilità. I ricercatori non hanno trovato alcuna prova di precedenti abusi.
Via: The Verge
