Posté le avril 2, 2023 à 5:51
MICROSOFT CORRIGE UN PROBLÈME DE MAUVAISE CONFIGURATION D’AZURE AD AFFECTANT BING ET D’AUTRES APPLICATIONS
Microsoft a publié un correctif pour un problème de mauvaise configuration qui a affecté le service de gestion des identités et des accès Azure Active Directory (AAAD). Le problème a également affecté le service de gestion des accès, exposant plusieurs applications à fort impact à des attaques de piratage qui auraient pu permettre à un hacker d’obtenir un accès non autorisé.
Microsoft publie un correctif pour la vulnérabilité d’Azure AD
Wiz, une société spécialisée dans la sécurité informatique en nuage, a publié un communiqué indiquant que les applications menacées impliquaient un système de gestion de contenu (CMS) qui alimente le moteur de recherche Bing. Les chercheurs ont déclaré que la faille leur permettait d’altérer les résultats de recherche et de lancer un grand nombre d’attaques XSS contre les utilisateurs du moteur de recherche Bing.
L’une de ces applications est un système de gestion de contenu (CMS) qui alimente Bing.com et qui nous a permis non seulement de modifier les résultats de recherche, mais aussi de lancer des attaques XSS à fort impact sur les utilisateurs de Bing.
Le rapport indique en outre que les attaques lancées par les acteurs de la menace présentent un risque pour les données personnelles des utilisateurs. Les hackers ont pu accéder à des plateformes telles que les courriels Outlook et les documents SharePoint, ce qui soulève le caractère crucial de la faille et l’impact qu’elle pourrait avoir sur les systèmes si elle était exploitée.
Les problèmes liés à Azure Active Directory ont été signalés à Microsoft entre janvier et février 2022. Après la découverte, le géant de la technologie a publié un correctif pour résoudre le problème. Wiz a également reçu une prime de 40 000 dollars pour avoir détecté le problème.
Selon Microsoft, rien n’indique que le problème de mauvaise configuration ait été exploité dans la nature. La société a aussi ajouté qu’elle avait introduit de nouveaux contrôles d’autorisation pour résoudre le problème. Elle a précisé qu’il n’était plus possible d’exploiter le problème car des correctifs avaient déjà été apportés.
La nature de la vulnérabilité signalée dans cette faille est connue sous le nom de « Shared Responsibility confusion » (confusion de responsabilité partagée). Dans ce cas, une application Azure peut être configurée de manière incorrecte, permettant ainsi aux utilisateurs de n’importe quel locataire Microsoft d’accéder au système. Il en résulte un risque d’accès involontaire aux systèmes des utilisateurs.
Plusieurs applications internes de Microsoft ont été identifiées comme ayant un comportement similaire. Ces applications permettaient à des parties externes d’obtenir des autorisations de lecture et d’écriture sur l’application compromise, menaçant ainsi les utilisateurs et les systèmes.
L’exploit a affecté les résultats de recherche
L’application Bing Trivia figure parmi les applications touchées par cette vulnérabilité. L’entreprise de cybersécurité a exploité cette application pour effectuer ses recherches et a modifié les résultats de recherche dans le moteur Bing. L’entreprise de cybersécurité a également manipulé le contenu de la page d’accueil dans une chaîne d’attaque appelée BingBang.
Bing est le 27e site web le plus visité au monde, avec plus d’un milliard de pages vues par mois. Des millions d’utilisateurs ont pu être exposés à des attaques de piratage qui les ont exposés à des résultats de recherche malveillants et à des vols de données sur Office 365.
L’exploit aurait également pu être utilisé à des fins militaires, ce qui aurait aggravé la situation. Ainsi, les hackers auraient pu utiliser la faille pour provoquer une attaque de type cross-site scripting (XSS) ciblant le moteur de recherche Bing.com. En outre, les hackers auraient aussi pu extraire les courriels Outlook de la victime. Les hackers auraient pu compromettre d’autres données personnelles, notamment des calendriers, des messages Teams, des fichiers OneDrive et des documents SharePoint.
L’un des chercheurs de Wiz, Hillai Ben-Sasson, a déclaré qu’un acteur de la menace disposant d’un accès similaire aurait pu compromettre les principaux résultats de recherche. Les hackers ont pu compromettre les résultats de recherche en utilisant la même charge utile et ont ensuite divulgué des données sensibles appartenant à des millions d’utilisateurs.
Outre Bing, de nombreuses autres applications auraient pu être vulnérables au problème de mauvaise configuration de l’Azure Active Directory. Ces applications comprennent Central Notification Service (CNS), Contact Center, COSMOS, Mag News, Policheck et Power Automate Blog.
Ce développement fait suite à un rapport de la société de tests de pénétration NetSPI. Ce rapport a révélé de nombreux détails sur une faille inter-locataires dans les connecteurs Power Platform. Cette faille pourrait être exploitée pour sécuriser l’accès aux données sensibles des utilisateurs.
Microsoft s’est montrée réactive dans la publication de correctifs pour les vulnérabilités critiques. Après une divulgation responsable en septembre 2022, le géant de la technologie a résolu la vulnérabilité de désérialisation en décembre de l’année dernière.
Cette recherche intervient également après la publication des correctifs apportés pour résoudre le problème sur Super FabriXss, qui a été répertorié sous CVE-2023-23383 avec un score CVSS de 8,2. La faille est une vulnérabilité XSS réfléchie détectée dans Azure Service Fabric Explorer (SFX). La faille pourrait entraîner une exécution de code à distance non authentifiée.
