云安全公司Wiz在一份报告中说:“其中一个应用程序是驱动Bing.com的内容管理系统(CMS),它不仅允许我们修改搜索结果,还可以对Bing用户启动高影响的XSS攻击。” “这些攻击可能会危及用户的个人数据,包括Outlook电子邮件和SharePoint文档。”
这些问题于2022年1月和2月报告给微软,随后该技术巨头应用了修复程序,并向Wiz授予了4万美元的漏洞赏金。微软表示,没有发现这些错误配置受到利用的证据。
漏洞的关键在于所谓的“共享责任混淆”,其中Azure应用程序可能被错误地配置为允许来自任何Microsoft租户的用户,从而导致意外访问的潜在情况。
有趣的是,发现一些微软自己的内部应用程序也表现出这种行为,因此允许外部方获取对受影响应用程序的读写权限。
这包括Bing Trivia应用程序,网络安全公司利用该应用程序更改了Bing的搜索结果,甚至操纵主页内容作为被称为BingBang的攻击链的一部分。
更糟糕的是,该漏洞可以被用于在Bing.com上触发跨站脚本(XSS)攻击,并提取受害者的Outlook电子邮件、日历、Teams消息、SharePoint文档和OneDrive文件。
Wiz研究员Hillai Ben-Sasson指出:“具有相同访问权限的恶意行为者可以使用相同的有效负载劫持最流行的搜索结果,并从数百万用户泄露敏感数据。”
其他易受错误配置问题影响的应用程序包括Mag News、Central Notification Service(CNS)、Contact Center、PoliCheck、Power Automate Blog和COSMOS。
这项研究公布之际,企业渗透测试公司NetSPI披露了Power Platform连接器中的跨租户漏洞的详细信息,这种漏洞可能被滥用以获取对敏感数据的访问。
在2022年9月进行负责任的披露后,微软在2022年12月解决了序列化漏洞。
此次研究还跟随修补程序的发布,以修复Azure服务织物浏览器(SFX)中的Super FabriXss(CVE-2023-23383,CVSS评分:8.2)反射XSS漏洞,该漏洞可能导致未经身份验证的远程代码执行。
