SIKKERHET

Azure-tabbe gjorde det mulig å redigere søkeresultatene i Bing

Microsofts feilkonfigurasjon kunne fått større konsekvenser. – Jeg kunne tatt over millioner av Office 365-kontoer, sier eksperten bak funnet.

Det er ikke bare Microsofts apper som er eksponert som en følge av feilkonfigurasjon, advarer sikkerhetsforskerne.
Det er ikke bare Microsofts apper som er eksponert som en følge av feilkonfigurasjon, advarer sikkerhetsforskerne. Illustrasjon: Digi/Colourbox
31. mars 2023 - 16:22

En gruppe sikkerhetseksperter har oppdaget en konfigurasjonsfeil i Azure Active Directory (AAD) som gjorde det mulig å manipulere søkeresultater i Bing.

Flere av Microsofts produkter og tjenester er berørt, så dette var en kritisk sårbarhet som etter alt å dømme kunne få langt større konsekvenser.

– Jeg hacket Bing og kunne endre søkeresultater og ta over millioner av Office 365-kontoer, skriver Hillai Ben-Sasson på Twitter.

Microsoft retter en takk til Ben-Sasson og kollegene hans i Wiz, et israelsk-amerikansk cybersikkerhetsselskap med unicorn-status, for å ha rapportert om funnet.

I et blogginnlegg sier skygiganten at de umiddelbart korrigerte feilen og at de har tatt ytterligere skritt for å hindre at denne typen problemer oppstår i fremtiden.

Wiz har parallelt lagt ut en teknisk redegjørelse om funnet, som de mener har langt bredere implikasjoner. 

Saken retter søkelyset mot hvor viktig det er å ha tungen rett i munnen når man setter opp rettigheter for adgang til apper i et såkalt «multi-tenant» skymiljø.

Hevder feilen er utbredt

Den sviktende tilgangskontrollen de avdekket, innebar at alle Azure-brukere fikk lese- og skriverettigheter til ressurser som burde ha vært isolert.

Foruten å forfalske søkeresultater i Bing, skal de har klart å utføre et såkalte Cross Site Scripting-angrep (XSS) mot søkemotorens brukere.

Angrepet gjorde det mulig å stjele autentiserings-token fra innloggede Office 365-brukere, noe som skal ha gitt adgang til Outlook, kalender, Teams-meldinger, Sharepoint-dokumenter og filer under Onedrive.

Bing har 100 millioner brukere. Det er det 27. mest besøkte nettstedet i verden for tiden, med over én milliard sidevisninger i måneden, ifølge SimilarWeb.

En ondsinnet aktør kunne ha plantet skadevare i søkemotoren for å stjele data og e-posten til millioner av Office 365-brukere, hevder Wiz, som har døpt sårbarheten «BingBang».

Hvem som har ansvaret for å validere sluttbrukernes autentiserings-tokens, er uklart i en komplisert arkitektur. Konfigurasjonsfeil er derfor ganske vanlig, ifølge sikkerhetsforskerne.

– Etter å ha avdekket dette begynte vi å skanne etter andre utsatte applikasjoner på internett. Resultatene overrasket oss. 25 prosent av alle multi-tenant-baserte applikasjoner vi skannet, var sårbare for omgåelse av autentisering, skriver Hillai Ben-Sasson.

Gir bort dusøren

Microsoft har et dusørprogram med belønning til dem som avdekker kritiske sårbarheter i selskapets produkter og infrastruktur. Dusørene strekker seg helt opp til 100.000 dollar når det gjelder autentiseringsløsningen i Azure.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

I dette tilfellet skal Wiz-forskerne ha fått 40.000 dollar. Ben-Sasson oppgir i en melding på Twitter at de vil donere premien til veldedighet.

 

Open AIs «Work with Apps»-funksjon skal gjøre det mindre nødvendig å klippe og lime innhold mellom apper og Chat GPT.
Les også

Mac-brukere kan snart slippe «klipp og lim» fra Chat GPT

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tekjobb-Indeksen 2024!
Les mer
Tekjobb-Indeksen 2024!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra