Una mala configuración en Azure Active Directory (AAD) que expuso las aplicaciones al acceso no autorizado podría haber llevado a la adquisición de Bing.com, según la firma de seguridad cibernética Wiz.
El AAD de Microsoft, un servicio de administración de identidades y accesos (IAM) basado en la nube, generalmente se usa como mecanismo de autenticación para las aplicaciones de Azure App Services y Azure Functions.
El servicio admite diferentes tipos de acceso a la cuenta, incluido el de múltiples inquilinos, donde cualquier usuario que pertenezca a cualquier inquilino de Azure puede emitir un token de OAuth para ellos, a menos que existan las restricciones adecuadas.
Para las aplicaciones multiinquilino, los desarrolladores son responsables de verificar el inquilino original de un usuario y hacer cumplir las políticas de acceso para evitar inicios de sesión no autorizados, pero Wiz descubrió que más del 25 % de las aplicaciones multiinquilino accesibles desde Internet carecen de la validación adecuada.
El problema existe porque no es evidente para los desarrolladores que son responsables de validar la identidad del usuario, lo que genera errores de configuración y validación. Lo que Wiz descubrió, sin embargo, fue que las propias aplicaciones de Microsoft caían en la misma categoría.
Una de estas aplicaciones era Bing Trivia, una aplicación de Microsoft que brindaba acceso a un sistema de administración de contenido (CMS) vinculado a Bing.com y que permitía a los investigadores de Wiz controlar los resultados en el motor de búsqueda de Microsoft. Wiz llama al ataque ‘ BingBang ‘.
“Por lo tanto, un actor malintencionado que acceda a la página de la aplicación Bing Trivia podría haber manipulado cualquier término de búsqueda y lanzado campañas de información errónea, así como suplantación de identidad y suplantación de identidad de otros sitios web”, dice Wiz.
Profundizando más, los investigadores descubrieron que Bing y Office 365 estaban conectados y que podían agregar una carga útil de secuencias de comandos entre sitios (XSS) a Bing.com, lo que les permitía comprometer el token de Office 365 de cualquier usuario.
Esto les proporcionó acceso a los datos de Office 365 de un usuario, incluidos correos electrónicos, mensajes de Teams, entradas de calendario y archivos de SharePoint y OneDrive.
Otras aplicaciones internas de Microsoft que también se vieron afectadas por la configuración incorrecta incluyeron Mag News, la API del Servicio de notificación centralizada (CNS), Contact Center, PoliCheck, Power Automate Blog y el sistema de administración de archivos COSMOS.
“Los problemas que identificamos en esta investigación pueden afectar a cualquier organización con aplicaciones de Azure Active Directory que se hayan configurado como multiusuario pero que carezcan de suficientes comprobaciones de autorización. Con base en los datos de nuestros escaneos, evaluamos que la exposición es significativamente más común en las aplicaciones de Azure App Service y Azure Functions, donde la responsabilidad de validación no está clara para los desarrolladores”, señala Wiz.
Se recomienda a los administradores que verifiquen las configuraciones de sus aplicaciones para asegurarse de que el acceso de múltiples inquilinos esté configurado correctamente, o cambien a la autenticación de un solo inquilino si no se requiere multi-inquilino. Para aplicaciones vulnerables, también se recomienda verificar los registros de actividad pasada (los registros de AAD, sin embargo, son insuficientes para eso).
Microsoft abordó el problema inicial de Bing el 31 de enero, el mismo día en que Wiz lo informó. El gigante de la tecnología parchó las aplicaciones vulnerables a fines de febrero y emitió una recompensa por errores de $ 40,000 esta semana.
