Microsoft ha abordado una falla grave en Azure Active Directory que fue apodada BingBang por los investigadores de seguridad que la descubrieron.
La vulnerabilidad no solo permitió manipular los resultados de búsqueda de Bing, sino también acceder a datos privados de Outlook, Office 365 y Teams. El problema se debió a una configuración incorrecta de Azure; se remonta a enero de este año, pero Microsoft acaba de tapar el agujero.
Los analistas de seguridad de Wiz Research explican que encontraron un nuevo vector de ataque en Azure Active Directory que expuso aplicaciones mal configuradas a un acceso no autorizado. Al describir estas configuraciones erróneas como "bastante populares", los investigadores dicen que alrededor de una cuarta parte de las aplicaciones multiinquilino resultaron ser vulnerables.
En una publicación de blog, el equipo dice:
Encontramos varias aplicaciones de Microsoft vulnerables y de alto impacto. Una de estas aplicaciones es un sistema de administración de contenido (CMS) que potencia Bing.com y nos permite no solo modificar los resultados de búsqueda, sino también lanzar ataques XSS de alto impacto contra los usuarios de Bing. Esos ataques podrían comprometer los datos personales de los usuarios, incluidos los correos electrónicos de Outlook y los documentos de SharePoint.
Los investigadores de seguridad de Wiz compartieron un video que muestra la vulnerabilidad que se está explotando:
Microsoft dice que ahora ha "abordado una configuración incorrecta de autorización para aplicaciones multiinquilino que usan Azure AD" La compañía dice que el problema "afectó a un pequeño número de nuestras aplicaciones internas".
Resumiendo su respuesta a los hallazgos, Microsoft dice:
- Microsoft corrigió inmediatamente la configuración incorrecta y agregó comprobaciones de autorización adicionales para solucionar el problema y confirmó que no se había producido ningún acceso no deseado.
- Microsoft ha confirmado que todas las acciones descritas por los investigadores ya no son posibles debido a estas correcciones.
- Microsoft realizó cambios adicionales para reducir el riesgo de futuras configuraciones incorrectas.
Los detalles técnicos de la configuración incorrecta están disponibles en la publicación del blog MRSC.
Anuncio: Comparación de precios y seguimiento de precios de más de 600,000 productos: consulte Comparador de precios y ofertas online
- NGLTYQ?:uenta con su apoyo. Considere contribuir con el botón a continuación para seguir brindando contenido excelente.
Ya conoces nuestro canal de YouTube? ¡Suscríbete!
Te ha resultado útil esta información? Tus comentarios nos ayudan a mejorar esta web
Si te ha gustado esta información, por favor apoya nuestro trabajo y este sitio web: compartir o comentar este artículo es un buen comienzo!. Para cualquier duda puedes dejarnos su comentario recibirás una respuesta lo mas rápido posible.
Puedes seguirnos en Twitter o unirse a nuestro Fan Page Facebook , Grupo Facebook, Instagram, Suscribirte a nuestro canal de You Tube para mantenerse actualizado sobre lo último en tecnología móvil e informática en general