Fehlkonfigurationen in der Azure Active Directory
Verantwortlich dafür war laut Wiz Research Microsofts Cloud-Computing-Plattform Azure bzw. eine dortige Fehlkonfiguration. Konkret war es eine Schwachstelle im Identitäts- und Zugriffsverwaltungsdienst von Azure Active Directory (AAD). Dabei sind die Mehrinstanz-Berechtigungen der Plattform durch jeden Azure-Nutzer zugänglich, weshalb es erforderlich ist, dass eine Überprüfung stattfinden muss. Allerdings sind hier Fehlkonfigurationen alles andere als eine Seltenheit.Wiz Research zeigt, wie man die Bing-Lücke missbrauchen konnte
Laut Wiz fehlte rund 25 Prozent der mehrinstanzenfähigen Apps eine entsprechende Validierung, dazu zählte Bing Trivia. Die Sicherheitsforscher konnten sich dort mit ihren eigenen Konten einloggen und darüber sogar die Suchergebnisse von Bing manipulieren. Weitere Zugriffe waren bei Office 365, Outlook, Microsoft Teams, SharePoint und OneDrive möglich, also im Wesentlichen ein großer Teil des Microsoft-Produktangebots.
01:25
Laut Wiz hatten mehr als 1000 Apps eine solche Fehlkonfiguration. Diese wurde Ende Januar an Microsoft gemeldet, geschlossen wurde die Bing-Lücke am 2. Februar 2023. Weitere betroffene Apps folgten Ende Februar, die letzte wurde am 20. März gefixt. Der Redmonder Konzern teilte überdies mit, dass man zusätzliche Schritte unternommen hat, damit sich dieses Problem nicht wiederholen kann.
Zusammenfassung
- Microsofts Bing hatte Lücke für Zugriff auf private Informationen.
- Fehlkonfiguration in Azure Active Directory.
- Mehr als 1000 Apps betroffen.
- Zugriff auf Office 365 etc. möglich.
- Lücke geschlossen, Schritte unternommen.