Hardware

Un exploit Microsoft Azure permitía cambiar resultados de Bing en tiempo real y acceder a los correos en Outlook

Photo of Benjamín Rosa Benjamín Rosa Send an email 31 marzo, 2023
0 299 1 minuto de lectura
bing google

Microsoft ha parcheado una vulnerabilidad de alta gravedad en su motor de búsqueda Bing. este fallo permitía alterar los resultados de búsqueda del buscador, y acceder a los datos de Office 365 de las personas afectadas.

Investigadores de ciberseguridad de Wiz descubrieron el fallo en enero y lo identificaron como un error de configuración en el servicio de gestión de identidad y acceso Azure Active Directory de Microsoft Azure.

Un fallo de Azure potencialmente peligroso ha sido arreglado

Algunas aplicaciones en Azure pueden utilizar permisos multi-tenant. Esto les hace ser accesibles por cualquier usuario de Azure. De forma normal, los desarrolladores tienen que establecer una forma de validar a los usuarios y controlar quién puede acceder a qué. Según ha informado el portal The Verge, el 25% de todas las aplicaciones multiusuario que analizó no tenían una buena validación, lo que era un enorme agujero de seguridad.

Este exploit se usó con Bing Trivia. Permitió a los investigadores iniciar sesión con sus propias cuentas de Azure y una vez conectados, se les concedió acceso a un sistema de gestión de contenidos que les permitió alterar los resultados de búsqueda en directo de Bing. Los investigadores afirman que era tan fácil que cualquiera que supiera cómo llegar a la página de Bing Trivia podría haber hecho lo mismo. El fallo de seguridad podría haber tenido muchas implicaciones, pues alterar en vivo los resultados de Bing podría haber sido muy jugoso para quien quiera aprovecharse de aparecer más en resultados de búsqueda.

bing google

También se descubrió que tenían acceso a los datos de Office 365 de otras personas. Correos electrónicos de Outlook, calendarios, mensajes de Teams, archivos de OneDrive y más estaban accesibles. Probaron en una bandeja de entrada de correo electrónico simulada y confirmaron la vulnerabilidad. La vulnerabilidad afecta a más de mil aplicaciones y webs en la nube de Microsoft.

Microsoft recibió el aviso el 31 de enero y, el 20 de marzo, solucionó la vulnerabilidad por completo. Los investigadores no encontraron pruebas de abusos anteriores, con lo que parece ser que no ha sido usado por agentes maliciosos.

Fuente: TechRadar

Photo of Benjamín Rosa Benjamín Rosa Send an email 31 marzo, 2023
0 299 1 minuto de lectura
Mostrar más
Photo of Benjamín Rosa

Benjamín Rosa

Madrileño cuya andadura editorial empezó en 2009. Me encanta investigar curiosidades que después os traigo a vosotros, lectores, en artículos. Estudié fotografía, habilidad que utilizo para crear fotomontajes humorísticos.

Publicaciones relacionadas

Nvidia GTX 1080Ti

La NVIDIA GTX 1080 Ti se presentaría en el PAX East

9 enero, 2017
msi cubi 3 silent

Dos nuevos MSI Cubi 3 Silent basados en procesadores Kaby Lake-U

21 octubre, 2017
geforce rtx 2080 ti gallery a

NVIDIA RTX 2080 será capaz de mantener los 4K @ 60FPS

15 septiembre, 2018
memoria ram ddr5

Se acabo la tregua: Subirá más el precio de la memoria RAM DDR4 debido a los Data Centers

9 marzo, 2018

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar

Bloqueador de anuncios detectado

Este sitio se financia mediante el uso de publicidad, miramos en todo momento que la misma no sea demasiado intrusiva para el lector y priorizamos la experiencia del mismo en la web. Pero si bloquea los anuncios, parte de nuestra financiación se verá mermada.