通过配置不当的微软app劫持Bing 搜索结果,获得4万美元漏洞奖励
编译:代码卫士
一款配置不当的微软应用可使任何人登录并实时修改 Bing.com 搜索结果以及注入 XSS 攻击,攻陷 Office 365 用户的账号。
Wiz公司的研究人员发现了该问题并将其描述为“BingBang”。该公司在2023年1月31日将问题告知微软,后者证实并在3月28日修复。
研究人员发现,在 Azure App Services 和 Azure Functions 中创建应用时,该应用可被配置不当,从而导致任何微软租户的用户如公开用户都能够登录到该应用。
这一配置设置被称为“支持账户类型”,可允许开发人员指定某个特定租户是否为多租户、个人账户或是多账号和个人账号的混合体,从而有权访问该应用。这一配置选项适用于合法场景,即开发人员必须在组织架构边界内使应用可用的情况。然而,如果开发人员错误地分配了不受约束的权限,则会导致验证和配置错误非常普遍。Wiz 公司扫描发现,约25%的多租户应用存在配置不当问题,从而导致无需正确的用户验证,即可获得无条件的访问权限。在一些案例中,配置不当的应用属于微软公司,说明管理人员很容易在Azure AD 配置时出错。
研究人员发现一个配置不当的名为 “Bing Trivia” 应用,可使任何人登录到该应用并访问其内容管理系统。不过,他们很快发现该应用直接连接到 Bing.com,从而使他们可以修改 Bing 搜索结果中显示的实时内容。
为了验证对 Bing.com 的完整控制,研究人员成功修改了 “best soundtracks” 搜索条目的搜索结果,在最顶部添加了任意结果。接着,研究员查看了自己能否将同样的 CMS 将 payload 注入 Bing 搜索结果,发现可在 Bing.com 上执行XSS攻击。之后,研究员将问题告知微软,并协助微软判断第二种攻击的准确影响。
XSS攻击测试显示,可攻陷在搜索结果中看到顶部添加结果的用户的 Office 365 令牌,从而能够访问搜索者的账户,如能够访问 Outlook 邮件、日历数据、Teams 消息、SharePoint 文档和 OneDrive 文件。
微软认为该问题并不严重,该配置不当问题可导致外部人员获得读取权限,但仅影响少量应用并立即将该漏洞修复。另外,微软还表示已引入安全增强,阻止 Azure AD 配置不当问题再次发生。最值得注意的是,微软已停止向未在资源租户中注册的客户端发放访问令牌,将权限仅限为注册正确的客户端。
微软在安全公告中指出,“该功能已在超过99%的客户应用中被禁用。对于无需服务原则依靠客户端访问的多租户资源应用来说,我们在Global Admins的 Azure Service Health Security 安全公告和微软365信息中心提供了相关指令。”另外,微软还为多租户应用增加了安全检查,查看多租户 ID 是否匹配允许清单以及是否存在客户端注册(Service Principal)。
建议控制多租户应用的开发人员和管理员咨询微软获得正确的更新指南。Wiz 还发布了另外一份含有修复建议的更详细报告。该公司研究员为此获得4万美元的漏洞奖励。
https://www.bleepingcomputer.com/news/security/bing-search-results-hijacked-via-misconfigured-microsoft-app/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。