Microsoft ha risolto un problema di configurazione errata che ha interessato il servizio di gestione dell’identità e dell’accesso di Azure Active Directory (AAD), il quale ha esposto diverse applicazioni ad alto impatto ad accessi non autorizzati.
Prima di cominciare: cos’è una vulnerabilità AD?
Una vulnerabilità AD si riferisce a una vulnerabilità nel servizio di Active Directory (AD) di Microsoft, che è il servizio di gestione di identità e accesso centrale utilizzato in ambienti Windows.
Queste vulnerabilità possono consentire agli attaccanti di compromettere le informazioni di autenticazione e autorizzazione, di accedere a dati sensibili e di eseguire azioni dannose all’interno dell’ambiente di rete.
Le vulnerabilità AD possono essere causate da errori di configurazione, problemi di sicurezza del software o di sistema operativo, e anche da attacchi di malware, è quindio necessario monitorare e correggere rapidamente queste vulnerabilità per proteggere l’ambiente di rete e prevenire possibili violazioni della sicurezza.
Qual è la problematica che aveva Azure che impattava sul motore di ricerca Bing?
“Una di queste applicazioni è un sistema di gestione dei contenuti (CMS) che alimenta Bing.com e ci ha permesso non solo di modificare i risultati di ricerca, ma anche di lanciare attacchi XSS ad alto impatto sugli utenti di Bing“, ha affermato la società di sicurezza cloud Wiz in un rapporto.
Microsoft ha poi aggiunto: “Tali attacchi potrebbero compromettere i dati personali degli utenti, inclusi gli e-mail di Outlook e i documenti di SharePoint“.
I problemi sono stati segnalati a Microsoft tra gennaio e febbraio del 2022, a seguito dei quali il colosso tecnologico ha applicato le correzioni e ha assegnato a Wiz una ricompensa di $40.000 per la scoperta del bug. Redmond ha dichiarato di non aver trovato prove che le configurazioni errate siano state sfruttate in modo fraudolento.
Il nocciolo della vulnerabilità deriva da ciò che viene definito “confusione della responsabilità condivisa”, in cui un’app di Azure AD può essere configurata in modo errato per consentire l’accesso a utenti provenienti da qualsiasi tenant Microsoft, portando a un potenziale caso di accesso non intenzionale.
È interessante notare che alcuni programmi interni di Microsoft (tra i quali figura Azure) presentavano questo comportamento, consentendo così a parti esterne di ottenere la lettura e la scrittura sulle applicazioni interessate.
Ciò include l’applicazione trivia di Bing, che la società di sicurezza informatica ha sfruttato per modificare i risultati di ricerca in Bing e persino manipolare il contenuto sulla homepage come parte di una catena di attacchi chiamata BingBang.
Ad aggravare ulteriormente la situazione, l’exploit potrebbe essere utilizzato per innescare un attacco cross-site scripting (XSS) su Bing.com ed estrarre le email di Outlook, i calendari, i messaggi di Teams, i documenti di SharePoint e i file di OneDrive di una vittima.
“Un malintenzionato con lo stesso accesso avrebbe potuto dirottare i risultati di ricerca più popolari con lo stesso payload e diffondere dati sensibili di milioni di utenti“, ha fatto notare il ricercatore di Wiz Hillai Ben-Sasson.
Altre applicazioni che sono risultate vulnerabili al problema di configurazione errata includono Mag News, Central Notification Service (CNS), Contact Center, PoliCheck, Power Automate Blog e COSMOS.
Ulteriori sviluppi della faccenda mentre l’azienda di penetration testing NetSPI ha rivelato i dettagli di una vulnerabilità cross-tenant nei connettori di Power Platform che potrebbe essere sfruttata per ottenere accesso a dati sensibili.
Dopo la segnalazione responsabile nel settembre 2022, la vulnerabilità di serializzazione è stata risolta da Microsoft nel dicembre 2022.
La ricerca segue anche la distribuzione di patch per rimediare a Super FabriXss (CVE-2023-23383, punteggio CVSS: 8,2), una vulnerabilità riflessa XSS in Azure Service Fabric Explorer (SFX) che potrebbe portare a esecuzione di codice remoto non autenticato.
