Ngày 01 tháng 4 năm 2023Ravie LakshmananAzure / Active Directory
Microsoft đã vá một sự cố cấu hình sai ảnh hưởng đến dịch vụ quản lý quyền truy cập và danh tính azure Active Directory (AAD), khiến một số ứng dụng “có tác động lớn” bị truy cập trái phép.
“Một trong những ứng dụng này là hệ thống quản lý nội dung (CMS) hỗ trợ Bing.com và cho phép chúng tôi không chỉ sửa đổi kết quả tìm kiếm mà còn khởi chạy các cuộc tấn công XSS có tác động lớn đối với người dùng Bing”, công ty bảo mật đám mây Wiz cho biết trong một báo cáo. “Những cuộc tấn công đó có thể xâm phạm dữ liệu cá nhân của người dùng, bao gồm email Outlook và tài liệu SharePoint.”
Các vấn đề đã được báo cáo cho Microsoft vào tháng 1 và tháng 2 năm 2022, sau đó gã khổng lồ công nghệ đã áp dụng các bản sửa lỗi và trao cho Wiz khoản tiền thưởng sửa lỗi trị giá 40.000 đô la. Redmond cho biết họ không tìm thấy bằng chứng nào cho thấy các cấu hình sai đã bị khai thác trong tự nhiên.
Mấu chốt của lỗ hổng bắt nguồn từ cái gọi là “sự nhầm lẫn về trách nhiệm chung”, trong đó ứng dụng Azure có thể được định cấu hình không chính xác để cho phép người dùng từ bất kỳ đối tượng thuê nào của Microsoft, dẫn đến trường hợp truy cập ngoài ý muốn tiềm ẩn.
Thật thú vị, một số ứng dụng nội bộ của chính Microsoft đã được phát hiện thể hiện hành vi này, do đó cho phép các bên bên ngoài có được quyền đọc và ghi đối với các ứng dụng bị ảnh hưởng.
Điều này bao gồm ứng dụng Bing Trivia, công ty an ninh mạng đã khai thác để thay đổi kết quả tìm kiếm trong Bing và thậm chí thao túng nội dung trên trang chủ như một phần của chuỗi tấn công có tên là BingBang.
Tệ hơn nữa, việc khai thác có thể được vũ khí hóa để kích hoạt một cuộc tấn công cross-site scripting (XSS) trên Bing.com và trích xuất email Outlook, lịch, tin nhắn Teams, tài liệu SharePoint và tệp OneDrive của nạn nhân.
Nhà nghiên cứu Hillai Ben-Sasson của Wiz lưu ý: “Một tác nhân độc hại có cùng quyền truy cập có thể đã chiếm quyền điều khiển các kết quả tìm kiếm phổ biến nhất với cùng tải trọng và làm rò rỉ dữ liệu nhạy cảm từ hàng triệu người dùng”.
Các ứng dụng khác được cho là dễ gặp sự cố cấu hình sai bao gồm Mag News, Dịch vụ Thông báo Trung tâm (CNS), Trung tâm Liên hệ, PoliCheck, Blog Power Automate và COSMOS.
Sự phát triển diễn ra khi công ty thử nghiệm thâm nhập doanh nghiệp NetSPI tiết lộ chi tiết về lỗ hổng đối tượng thuê chéo trong trình kết nối Power Platform có thể bị lạm dụng để giành quyền truy cập vào dữ liệu nhạy cảm.
Sau khi tiết lộ có trách nhiệm vào tháng 9 năm 2022, lỗ hổng khử lưu huỳnh đã được Microsoft giải quyết vào tháng 12 năm 2022.
Nghiên cứu cũng theo sau việc phát hành các bản vá để khắc phục Super FabriXss (CVE-2023-23383, điểm CVSS: 8.2), một lỗ hổng XSS được phản ánh trong Azure Service Fabric Explorer (SFX) có thể dẫn đến thực thi mã từ xa không được xác thực.
