En gruppe sikkerhetseksperter har oppdaget en konfigurasjonsfeil i Azure Active Directory (AAD) som gjorde det mulig å manipulere søkeresultater i Bing.
Flere av Microsofts produkter og tjenester er berørt, så dette var en kritisk sårbarhet som etter alt å dømme kunne få langt større konsekvenser.
– Jeg hacket Bing og kunne endre søkeresultater og ta over millioner av Office 365-kontoer, skriver Hillai Ben-Sasson på Twitter.
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs
— Hillai Ben-Sasson (@hillai) March 29, 2023
Microsoft retter en takk til Ben-Sasson og kollegene hans i Wiz, et israelsk-amerikansk cybersikkerhetsselskap med unicorn-status, for å ha rapportert om funnet.
I et blogginnlegg sier skygiganten at de umiddelbart korrigerte feilen og at de har tatt ytterligere skritt for å hindre at denne typen problemer oppstår i fremtiden.
Wiz har parallelt lagt ut en teknisk redegjørelse om funnet, som de mener har langt bredere implikasjoner.
Saken retter søkelyset mot hvor viktig det er å ha tungen rett i munnen når man setter opp rettigheter for adgang til apper i et såkalt «multi-tenant» skymiljø.
Hevder feilen er utbredt
Den sviktende tilgangskontrollen de avdekket, innebar at alle Azure-brukere fikk lese- og skriverettigheter til ressurser som burde ha vært isolert.
Foruten å forfalske søkeresultater i Bing, skal de har klart å utføre et såkalte Cross Site Scripting-angrep (XSS) mot søkemotorens brukere.
Angrepet gjorde det mulig å stjele autentiserings-token fra innloggede Office 365-brukere, noe som skal ha gitt adgang til Outlook, kalender, Teams-meldinger, Sharepoint-dokumenter og filer under Onedrive.
Bing har 100 millioner brukere. Det er det 27. mest besøkte nettstedet i verden for tiden, med over én milliard sidevisninger i måneden, ifølge SimilarWeb.
En ondsinnet aktør kunne ha plantet skadevare i søkemotoren for å stjele data og e-posten til millioner av Office 365-brukere, hevder Wiz, som har døpt sårbarheten «BingBang».
Hvem som har ansvaret for å validere sluttbrukernes autentiserings-tokens, er uklart i en komplisert arkitektur. Konfigurasjonsfeil er derfor ganske vanlig, ifølge sikkerhetsforskerne.
– Etter å ha avdekket dette begynte vi å skanne etter andre utsatte applikasjoner på internett. Resultatene overrasket oss. 25 prosent av alle multi-tenant-baserte applikasjoner vi skannet, var sårbare for omgåelse av autentisering, skriver Hillai Ben-Sasson.
Gir bort dusøren
Microsoft har et dusørprogram med belønning til dem som avdekker kritiske sårbarheter i selskapets produkter og infrastruktur. Dusørene strekker seg helt opp til 100.000 dollar når det gjelder autentiseringsløsningen i Azure.
I dette tilfellet skal Wiz-forskerne ha fått 40.000 dollar. Ben-Sasson oppgir i en melding på Twitter at de vil donere premien til veldedighet.
@msftsecresponse quickly responded to our report, fixed the vulnerable applications, and introduced some AAD product and guidance changes to help customers mitigate this issue. For this, they awarded us with $40,000 bug bounty, which we will donate 💸 pic.twitter.com/sV4rtTiqCy
— Hillai Ben-Sasson (@hillai) March 29, 2023
