微软修复影响Bing搜索和主要应用程序的新Azure AD漏洞

业界 作者:梁秋燕 2023-04-03 23:21:43

Microsoft已修补影响Azure Active Directory(AAD)身份和访问管理服务的错误配置问题,该问题将几个“高影响”应用程序暴露给未经授权的访问。

“其中一个应用程序是内容管理系统(CMS),它支持Bing.com 并允许我们不仅修改搜索结果,而且还对Bing用户发起高影响力的XSS攻击,”云安全公司Wiz说说在一份报告中。“这些攻击可能会损害用户的个人数据,包括Outlook电子邮件和SharePoint文档。”

这些问题于2022年1月和2月报告给微软,随后这家科技巨头应用了修复程序,并向Wiz提供了4万美元的漏洞奖金。雷德蒙 说,没有发现任何证据表明这些错误的配置在野外被利用。

该漏洞的症结在于所谓的“共享责任混淆”,其中Azure应用程序可能被错误地配置为允许来自任何Microsoft租户的用户,从而导致潜在的意外访问情况。

有趣的是,许多微软自己的内部应用程序被发现表现出这种行为,从而允许外部各方获得对受影响应用程序的读写。

这包括Bing Trivia应用程序,该网络安全公司利用该应用程序来改变Bing中的搜索结果,甚至操纵主页上的内容,作为被称为BingBang的攻击链的一部分。

更糟糕的是,该漏洞可能被武器化,以触发对www.example.com的跨站脚本(XSS)攻击Bing.com,并提取受害者的Outlook电子邮件,日历,团队消息,SharePoint文档和OneDrive文件。

Wiz研究员Hillai Ben-Sasson指出:“具有相同访问权限的恶意行为者可能会劫持具有相同有效负载的最受欢迎的搜索结果,并泄露数百万用户的敏感数据。”

其他被发现易受配置错误问题影响的应用程序包括Mag News,Central Notification Service(CNS),Contact Center,PoliCheck,Power Automate Blog和COSMOS。

企业渗透测试公司NetSPI 显露的 中的跨租户漏洞的详细信息 Power Platform连接器可能被滥用来获取敏感数据。

在2022年9月进行负责任的披露后,微软于2022年12月解决了反序列化漏洞。

该研究还遵循发布修补程序进行补救 超级FabriXss(CVE-2023-23383,CVSS评分:8.2),这是Azure Service Fabric Explorer(SFX)中反映的XSS漏洞,可能导致未经身份验证的远程代码执行。

稿源:TheHackerNews.com

延伸阅读
  • MSN品牌回归:取代Microsoft Start还有了新Logo

    近日,微软Edge浏览器的新标签页上的“Microsoft Start”标识已被更换为MSN标志性“蝴蝶”Logo。这也意味着微软将重启历史悠久的MSN品牌,并为其设计了全新的Logo,标志着MSN品

  • 微软Win11全新功能曝光!图表直观展示PC能耗

    据消息人士Albacore在社交平台上透露,微软正在为Windows 11开发一项新功能,该功能将通过图表直观展示用户的PC能耗情况。该功能将在设置应用中增加一个能耗图表,让用户能够清晰地看到过去24

  • 微软又发出Windows 10终止警告:不升级Win11后果自负

    虽然距离2025年10月14日还有段时间,但微软又又又在催Windows 10用户升级了。现在有网友意外发现,在微软官网的Windows系统下载页面,目前也出现了类似的提示,即催促Windows 10

关注公众号:拾黑(shiheibook)了解更多

友情链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
安全、绿色软件下载就上极速下载站:https://www.yaorank.com/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接