微软修复了影响Bing搜索和主要应用程序的新Azure AD漏洞

微软已经修补了一个影响Azure Active Directory (AAD)身份和访问管理服务的错误配置问题，该服务使多个“高影响”应用程序暴露给未经授权的访问。

“其中一个应用程序是内容管理系统(CMS)，它为Bing.com提供支持，让我们不仅可以修改搜索结果，还可以对Bing用户发起高影响力的XSS攻击，”云安全公司Wiz在一份报告中说。“这些攻击可能会损害用户的个人数据，包括Outlook电子邮件和SharePoint文档。”

这些问题已于2022年1月和2022年2月报告给微软，随后这家科技巨头应用了修复程序并向Wiz提供了40,000美元的漏洞赏金。雷德蒙德表示，它没有发现任何证据表明这些错误配置在野外被利用。

该漏洞的症结源于所谓的“共享责任混淆”，其中Azure应用程序可能被错误地配置为允许来自任何Microsoft租户的用户，从而导致潜在的意外访问情况。

有趣的是，微软自己的一些内部应用程序被发现表现出这种行为，从而允许外部各方获得受影响应用程序的读写权限。

这包括Bing Trivia应用程序，网络安全公司利用它来改变Bing中的搜索结果，甚至操纵主页上的内容，作为名为BingBang的攻击链的一部分。

更糟糕的是，该漏洞可以被武器化以触发对Bing.com的跨站点脚本(XSS)攻击，并提取受害者的Outlook电子邮件、日历、Teams消息、SharePoint文档和OneDrive文件。

Wiz研究员Hillai Ben-Sasson指出：“具有相同访问权限的恶意行为者可能会利用相同的有效负载劫持最流行的搜索结果，并泄露数百万用户的敏感数据。”

其他易受错误配置问题影响的应用程序包括Mag News、Central Notification Service (CNS)、Contact Center、PoliCheck、Power Automate Blog和COSMOS。

随着企业渗透测试公司NetSPI披露了Power Platform连接器中一个跨租户漏洞的详细信息，该漏洞可能被滥用以获取对敏感数据的访问权限。

在2022年9月负责任地披露之后，Microsoft于2022年12月解决了反序列化漏洞。

该研究还发布了修复Super FabriXss（CVE-2023-23383，CVSS 分数：8.2）的补丁，这是Azure Service Fabric Explorer (SFX)中反映的 XSS 漏洞，可能导致未经身份验证的远程代码执行。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5517.html