Microsoft ha parcheado una vulnerabilidad de alta gravedad en su motor de búsqueda Bing. este fallo permitía alterar los resultados de búsqueda del buscador, y acceder a los datos de Office 365 de las personas afectadas.
Investigadores de ciberseguridad de Wiz descubrieron el fallo en enero y lo identificaron como un error de configuración en el servicio de gestión de identidad y acceso Azure Active Directory de Microsoft Azure.
Un fallo de Azure potencialmente peligroso ha sido arreglado
Algunas aplicaciones en Azure pueden utilizar permisos multi-tenant. Esto les hace ser accesibles por cualquier usuario de Azure. De forma normal, los desarrolladores tienen que establecer una forma de validar a los usuarios y controlar quién puede acceder a qué. Según ha informado el portal The Verge, el 25% de todas las aplicaciones multiusuario que analizó no tenían una buena validación, lo que era un enorme agujero de seguridad.
Este exploit se usó con Bing Trivia. Permitió a los investigadores iniciar sesión con sus propias cuentas de Azure y una vez conectados, se les concedió acceso a un sistema de gestión de contenidos que les permitió alterar los resultados de búsqueda en directo de Bing. Los investigadores afirman que era tan fácil que cualquiera que supiera cómo llegar a la página de Bing Trivia podría haber hecho lo mismo. El fallo de seguridad podría haber tenido muchas implicaciones, pues alterar en vivo los resultados de Bing podría haber sido muy jugoso para quien quiera aprovecharse de aparecer más en resultados de búsqueda.
También se descubrió que tenían acceso a los datos de Office 365 de otras personas. Correos electrónicos de Outlook, calendarios, mensajes de Teams, archivos de OneDrive y más estaban accesibles. Probaron en una bandeja de entrada de correo electrónico simulada y confirmaron la vulnerabilidad. La vulnerabilidad afecta a más de mil aplicaciones y webs en la nube de Microsoft.
Microsoft recibió el aviso el 31 de enero y, el 20 de marzo, solucionó la vulnerabilidad por completo. Los investigadores no encontraron pruebas de abusos anteriores, con lo que parece ser que no ha sido usado por agentes maliciosos.
Fuente: TechRadar