SIKKERHET

Azure-tabbe gjorde det mulig å redigere søkeresultatene i Bing

Microsofts feilkonfigurasjon kunne fått større konsekvenser. – Jeg kunne tatt over millioner av Office 365-kontoer, sier eksperten bak funnet.

Det er ikke bare Microsofts apper som er eksponert som en følge av feilkonfigurasjon, advarer sikkerhetsforskerne.
Det er ikke bare Microsofts apper som er eksponert som en følge av feilkonfigurasjon, advarer sikkerhetsforskerne. Illustrasjon: Digi/Colourbox
31. mars 2023 - 16:22

En gruppe sikkerhetseksperter har oppdaget en konfigurasjonsfeil i Azure Active Directory (AAD) som gjorde det mulig å manipulere søkeresultater i Bing.

Flere av Microsofts produkter og tjenester er berørt, så dette var en kritisk sårbarhet som etter alt å dømme kunne få langt større konsekvenser.

– Jeg hacket Bing og kunne endre søkeresultater og ta over millioner av Office 365-kontoer, skriver Hillai Ben-Sasson på Twitter.

Microsoft retter en takk til Ben-Sasson og kollegene hans i Wiz, et israelsk-amerikansk cybersikkerhetsselskap med unicorn-status, for å ha rapportert om funnet.

I et blogginnlegg sier skygiganten at de umiddelbart korrigerte feilen og at de har tatt ytterligere skritt for å hindre at denne typen problemer oppstår i fremtiden.

Wiz har parallelt lagt ut en teknisk redegjørelse om funnet, som de mener har langt bredere implikasjoner. 

Saken retter søkelyset mot hvor viktig det er å ha tungen rett i munnen når man setter opp rettigheter for adgang til apper i et såkalt «multi-tenant» skymiljø.

Hevder feilen er utbredt

Den sviktende tilgangskontrollen de avdekket, innebar at alle Azure-brukere fikk lese- og skriverettigheter til ressurser som burde ha vært isolert.

Foruten å forfalske søkeresultater i Bing, skal de har klart å utføre et såkalte Cross Site Scripting-angrep (XSS) mot søkemotorens brukere.

Angrepet gjorde det mulig å stjele autentiserings-token fra innloggede Office 365-brukere, noe som skal ha gitt adgang til Outlook, kalender, Teams-meldinger, Sharepoint-dokumenter og filer under Onedrive.

Bing har 100 millioner brukere. Det er det 27. mest besøkte nettstedet i verden for tiden, med over én milliard sidevisninger i måneden, ifølge SimilarWeb.

En ondsinnet aktør kunne ha plantet skadevare i søkemotoren for å stjele data og e-posten til millioner av Office 365-brukere, hevder Wiz, som har døpt sårbarheten «BingBang».

Hvem som har ansvaret for å validere sluttbrukernes autentiserings-tokens, er uklart i en komplisert arkitektur. Konfigurasjonsfeil er derfor ganske vanlig, ifølge sikkerhetsforskerne.

– Etter å ha avdekket dette begynte vi å skanne etter andre utsatte applikasjoner på internett. Resultatene overrasket oss. 25 prosent av alle multi-tenant-baserte applikasjoner vi skannet, var sårbare for omgåelse av autentisering, skriver Hillai Ben-Sasson.

Gir bort dusøren

Microsoft har et dusørprogram med belønning til dem som avdekker kritiske sårbarheter i selskapets produkter og infrastruktur. Dusørene strekker seg helt opp til 100.000 dollar når det gjelder autentiseringsløsningen i Azure.

I dette tilfellet skal Wiz-forskerne ha fått 40.000 dollar. Ben-Sasson oppgir i en melding på Twitter at de vil donere premien til veldedighet.

 

Elon Musk tok over som eier av Twitter i oktober 2022 og døpte om selskapet til X. Oppkjøpet av mediegiganten kostet Tesla-gründeren over 44 milliarder dollar.
Les også

EU mener X bryter digitallov og villeder brukerne

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.