Уязвимост в услугите на Microsoft е позволила достъп до лични данни в Office 365

Учени в сферата на сигурността са открили опасна уязвимост в търсачката на Microsoft Bing. Тя позволява на потребители да променят резултати от търсене и достъп до лични данни на други потребители в Teams, Outlook и Office 365.

Става дума за проблем с конфигурацията на облачната платформа Azure, даващ достъп на потребителите ѝ до приложения без оторизация. Засегнати са приложения, използващи функционалността за „multi-tenant“ разрешения.

Учените са успели да се логнат в Bing Trivia чрез собствените си акаунти в Azure и са открили CMS, която им е позволила да управляват резултати от търсене в реално време на Bing.com. Това, разбира се, дава потенциалната възможност за манипулации и фишинг атаки.

Експлойтът може да бъде използван за достъп до потребителски данни в Office 365, разкриване на мейли в Outlook, календари, съобщения в Teams, документи в SharePoint и файлове в OneDrive. Над 1000 приложения и сайтове в облака на Microsoft имат подобни проблеми с конфигурацията.

I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… ?
This is the story of #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) March 29, 2023

Учените са съобщили за уязвимостта на Центъра за реакция по сигурността на Microsoft на 31 януари. Проблемът е отстранен на 2 февруари. Впоследствие са маркирани и други уязвими приложения, които са поправени на 20 март. От Microsoft споделят, че са приложени и други промени, които да ограничат бъдещи подобни рискове.

Няма доказателства за това уязвимостта да е използвана, преди да е отстранена.

Източници: Wiz, The Wall Street Journal