Microsoft ha reparado una vulnerabilidad de alta gravedad en su motor de búsqueda Bing, lo que permitió a los posibles actores de amenazas no solo alterar los resultados de búsqueda, sino también acceder a los datos de Office 365 de las personas. (se abre en una pestaña nueva).
Los investigadores de seguridad cibernética de Wiz descubrieron la falla en enero de 2023, identificándola como una configuración incorrecta en el servicio de administración de acceso e identidad de Azure Active Directory (AAD) en la plataforma en la nube Azure de Microsoft.
Además de cambiar los resultados del motor de búsqueda, la falla podría permitir el acceso a los datos de Office 365 de otras personas, como correos electrónicos de Outlook, calendarios, mensajes de Teams, archivos de OneDrive y más.
Una ocurrencia común
Algunas aplicaciones en Azure pueden usar permisos multiinquilino y, por lo tanto, cualquier usuario de Azure puede acceder a ellas. Eso significa que los desarrolladores deben configurar una forma de validar a los usuarios y controlar quién accede a qué. Según The Verge, aquí es donde muchos se equivocan, ya que las configuraciones incorrectas a este respecto son «una ocurrencia común». Wiz dice que el 25 % de todas las aplicaciones multiusuario que escaneó no tenían una buena validación.
Esto es exactamente lo que sucedió con Bing Trivia, y eso permitió a los investigadores iniciar sesión con sus propias cuentas de Azure. Una vez que iniciaron sesión, se les otorgó acceso a un sistema de administración de contenido (CMS) que les permitió modificar los resultados de búsqueda en vivo de Bing. Los investigadores dijeron que no hicieron nada espectacular aquí: cualquiera que supiera cómo llegar a la página de Bing Trivia podría haber hecho lo mismo.
Además de alterar los resultados del motor de búsqueda, los investigadores también descubrieron que tenían acceso a los datos de Office 365 de otras personas, como correos electrónicos de Outlook, calendarios, mensajes de Teams, archivos de OneDrive y más. Los investigadores lo probaron en una bandeja de entrada de correo electrónico simulada y confirmaron la vulnerabilidad. Pero el alcance de la vulnerabilidad no termina aquí: hay más de 1,000 aplicaciones y sitios web en la nube de Microsoft que tenían configuraciones erróneas abusivas similares, como Mag News, PoliCheck, Cosmos y más.
“Un atacante potencial podría haber influido en los resultados de búsqueda de Bing y comprometido los correos electrónicos y datos de Microsoft 365 de millones de personas”, dijo Ami Luttwak, director de tecnología de Wiz, a The Wall Street Journal. “Podría haber sido un estado-nación tratando de influir en la opinión pública o un hacker motivado financieramente”.
Microsoft recibió un aviso el 31 de enero y, para el 20 de marzo, abordó la vulnerabilidad por completo. Los investigadores no encontraron ninguna evidencia de abuso previo.
Vía: The Verge (se abre en una pestaña nueva)