En gruppe sikkerhetseksperter har oppdaget en konfigurasjonsfeil i Azure Active Directory (AAD) som gjorde det mulig å manipulere søkeresultater i Bing.
Flere av Microsofts produkter og tjenester er berørt, så dette var en kritisk sårbarhet som etter alt å dømme kunne få langt større konsekvenser.
– Jeg hacket Bing og kunne endre søkeresultater og ta over millioner av Office 365-kontoer, skriver Hillai Ben-Sasson på Twitter.
Microsoft retter en takk til Ben-Sasson og kollegene hans i Wiz, et israelsk-amerikansk cybersikkerhetsselskap med unicorn-status, for å ha rapportert om funnet.
I et blogginnlegg sier skygiganten at de umiddelbart korrigerte feilen og at de har tatt ytterligere skritt for å hindre at denne typen problemer oppstår i fremtiden.
Wiz har parallelt lagt ut en teknisk redegjørelse om funnet, som de mener har langt bredere implikasjoner.
Saken retter søkelyset mot hvor viktig det er å ha tungen rett i munnen når man setter opp rettigheter for adgang til apper i et såkalt «multi-tenant» skymiljø.
Hevder feilen er utbredt
Den sviktende tilgangskontrollen de avdekket, innebar at alle Azure-brukere fikk lese- og skriverettigheter til ressurser som burde ha vært isolert.
Foruten å forfalske søkeresultater i Bing, skal de har klart å utføre et såkalte Cross Site Scripting-angrep (XSS) mot søkemotorens brukere.
Angrepet gjorde det mulig å stjele autentiserings-token fra innloggede Office 365-brukere, noe som skal ha gitt adgang til Outlook, kalender, Teams-meldinger, Sharepoint-dokumenter og filer under Onedrive.
Bing har 100 millioner brukere. Det er det 27. mest besøkte nettstedet i verden for tiden, med over én milliard sidevisninger i måneden, ifølge SimilarWeb.
En ondsinnet aktør kunne ha plantet skadevare i søkemotoren for å stjele data og e-posten til millioner av Office 365-brukere, hevder Wiz, som har døpt sårbarheten «BingBang».
Hvem som har ansvaret for å validere sluttbrukernes autentiserings-tokens, er uklart i en komplisert arkitektur. Konfigurasjonsfeil er derfor ganske vanlig, ifølge sikkerhetsforskerne.
– Etter å ha avdekket dette begynte vi å skanne etter andre utsatte applikasjoner på internett. Resultatene overrasket oss. 25 prosent av alle multi-tenant-baserte applikasjoner vi skannet, var sårbare for omgåelse av autentisering, skriver Hillai Ben-Sasson.
Gir bort dusøren
Microsoft har et dusørprogram med belønning til dem som avdekker kritiske sårbarheter i selskapets produkter og infrastruktur. Dusørene strekker seg helt opp til 100.000 dollar når det gjelder autentiseringsløsningen i Azure.
I dette tilfellet skal Wiz-forskerne ha fått 40.000 dollar. Ben-Sasson oppgir i en melding på Twitter at de vil donere premien til veldedighet.
