Echamos un vistazo a la defecto “BingBang” que permitió la manipulación del motor de búsqueda en Bing.
Los investigadores de Wiz han descubierto una forma de permitir la manipulación de motores de búsqueda y la apropiación de cuentas. La investigación en cuestión se centra en varias aplicaciones de Microsoft, todo derivado de un nuevo tipo de ataque dirigido a Azure Active Directory.
Azure Active Directory es un servicio de autenticación multifactor y de inicio de sesión único utilizado por organizaciones de todo el mundo. En las propias palabras de Microsoft, “La gobernanza garantiza que las personas adecuadas tengan comunicación a los medios adecuados, y solo cuando lo necesiten”.
Desafortunadamente, una configuración incorrecta en la configuración de Azure resultó en una serie de problemas potencialmente graves. Según Wiz, una vez que el equipo comenzó a escanear en averiguación de aplicaciones expuestas, no menos del 35 % de las aplicaciones que escanearon eran vulnerables a la omisión de autenticación.
Quizás el ejemplo más bonito de este ataque en particular es cómo una interfaz de filial expuesta vinculada a Bing permitió que cualquier legatario accediera a ella. Olvidar la autenticación resultó en un panel de filial pragmático para el motor de búsqueda. Los investigadores no solo pudieron cambiar los resultados devueltos para búsquedas como “Mejor lado sonora”, sino todavía ir un poco más allá.
Este mismo comunicación todavía permitió a los investigadores inyectar un ataque Cross Site Scripting (XSS) y comprometer las credenciales de Office365 de cualquier legatario de Bing. Desde allí, podrían alcanzar a:
- datos privados
- correos electrónicos de perspectiva
- archivos de SharePoint
- Mensajes de equipos
Este ataque en particular ha sido denominado “BingBang”. Wiz señala que Bing es el sitio web número 27 más visitado del mundo, por lo que es claramente un gran liga de objetivos con los que retozar. Adicionalmente, existían otras vulnerabilidades en muchas otras aplicaciones. Estos van desde Mag News, un panel de control para boletines de MSN y PoliCheck, un verificador de palabras prohibidas, hasta Power Automate Blog (un panel de filial de WordPress) y CNS API, un Servicio de notificación central.
El potencial para hacer travesuras aquí es amplio. Estas aplicaciones pueden remitir notificaciones internas a los desarrolladores de Microsoft o remitir correos electrónicos a una gran cantidad de destinatarios.
Gracias a Dios, se notificó a Microsoft sobre estos problemas y, cuando se implementó la última aggiornamento de Bing, los problemas ya se habían solucionado. De su Documento de Orientación:
Microsoft ha abordado una configuración incorrecta de autorización para aplicaciones multiinquilino que usan Azure AD, descubierta inicialmente por Wiz e informada a Microsoft, que afectó a una pequeña cantidad de nuestras aplicaciones internas. La mala configuración permitió a partes externas alcanzar a repaso y escritura a las aplicaciones afectadas.
Microsoft corrigió de inmediato la configuración incorrecta y agregó verificaciones de autorización adicionales para atracar el problema y confirmó que no se había producido ningún comunicación no deseado.
Microsoft ha confirmado que todas las acciones descritas por los investigadores ya no son posibles oportuno a estas correcciones.
Microsoft realizó cambios adicionales para someter el peligro de futuras configuraciones incorrectas.
El problema original de Bing se informó por primera vez a Microsoft el 31 de enero y se solucionó el mismo día. Las vulnerabilidades adicionales se informaron el 25 de febrero, con correcciones para las que comenzaron el 27 de febrero y finalizaron el 20 de marzo.
Si proporcionadamente no parece favor ninguna evidencia sólida de que se abuse de estas fallas en la naturaleza, Wiz señala que, según Microsoft, los registros de Azure Active Directory son “insuficientes para proporcionar información sobre la actividad pasada”. Como resultado, deberá ver el aspecto de la aplicación y demostrar cualquier evidencia de inicios de sesión dudosos.
Establecer aplicaciones en la aglomeración es un negocio desafiante y difícil, con pequeños errores que pueden causar grandes problemas. A veces, incluso Microsoft no lo hace del todo proporcionadamente. Con suerte, el peor impacto aquí resultará favor sido sacar a Dune del primer puesto de la lado sonora para el OST de Hackers… incluso si este zaguero es un libro muy superior. Hackear el planeta de hecho.
Malwarebytes elimina todos los restos de ransomware y evita que se vuelva a infectar. ¿Quiere memorizar más sobre cómo podemos ayudar a proteger su negocio? Obtenga una prueba gratuita a continuación.
PROBAR AHORA
