Microsoft: questa mega falla di sicurezza potrebbe essere la peggiore di sempre

Bing Search
(Immagine:: Getting Images)

Microsoft ha corretto una vulnerabilità ad alta gravità nel suo motore di ricerca Bing, che consentiva a potenziali attori di minacce non solo di alterare i risultati delle ricerche, ma anche di accedere ai dati Office 365 delle persone.

I ricercatori di cybersicurezza di Wiz hanno scoperto la falla nel gennaio 2023, identificandola come una configurazione errata del servizio di gestione delle identità e degli accessi Azure Active Directory (AAD) nella piattaforma cloud Azure di Microsoft.

Oltre a modificare i risultati dei motori di ricerca, la falla potrebbe consentire l'accesso ai dati Office 365 di altre persone, come e-mail di Outlook, calendari, messaggi di Teams, file di OneDrive e altro ancora.

Un evento comune

Alcune applicazioni su Azure possono utilizzare permessi multi-tenant e quindi essere accessibili da qualsiasi utente Azure. Ciò significa che gli sviluppatori devono impostare un modo per convalidare gli utenti e tenere sotto controllo chi può accedere a cosa. Secondo The Verge, è qui che molti sbagliano, poiché le configurazioni errate in questo senso sono "un evento comune". Wiz afferma che il 25% di tutte le app multi-tenant analizzate non disponeva di una buona convalida.

Questo è esattamente ciò che è accaduto a Bing Trivia e che ha permesso ai ricercatori di accedere con i propri account Azure. Una volta effettuato l'accesso, hanno ottenuto l'accesso a un sistema di gestione dei contenuti (CMS) che ha permesso loro di modificare i risultati di ricerca in tempo reale di Bing. I ricercatori hanno dichiarato di non aver fatto nulla di spettacolare: chiunque sapesse come raggiungere la pagina di Bing Trivia avrebbe potuto fare lo stesso.

Oltre ad alterare i risultati dei motori di ricerca, i ricercatori hanno scoperto di aver avuto accesso ai dati di Office 365 di altre persone, come e-mail di Outlook, calendari, messaggi di Teams, file di OneDrive e altro ancora. I ricercatori hanno effettuato un test su una finta casella di posta elettronica e hanno confermato la vulnerabilità. Ma la portata della vulnerabilità non si esaurisce qui: ci sono più di 1.000 applicazioni e siti web sul cloud di Microsoft che avevano configurazioni errate simili, come Mag News, PoliCheck, Cosmos e altri.

"Un potenziale aggressore avrebbe potuto influenzare i risultati di ricerca di Bing e compromettere le e-mail di Microsoft 365 e i dati di milioni di persone", ha dichiarato Ami Luttwak, chief technology officer di Wiz, al Wall Street Journal. "Potrebbe trattarsi di uno Stato nazionale che cerca di influenzare l'opinione pubblica o di un hacker con motivazioni finanziarie".

Microsoft è stata avvisata il 31 gennaio e il 20 marzo ha risolto completamente la vulnerabilità. I ricercatori non hanno trovato alcuna prova di precedenti abusi.

Via: The Verge

TOPICS
Valerio Porcu

Valerio Porcu è Redattore Capo e Project Manager di Techradar Italia. È da sempre ossessionato dai gadget e dagli oggetti tecnologici che cambiano la nostra vita quotidiana, e dai primi anni 2000 ha deciso di raccontarla. Oggi è un giornalista con anni di esperienza nel settore tecnologico, e ha ancora la voglia di trovare le chiavi di lettura giuste, per capire davvero in che modo la tecnologia può rendere migliore la nostra vita quotidiana.