Microsoft 已修补影响 Azure Active Directory (AAD)标识和访问管理服务的错误配置问题,该问题将多个“高影响”应用程序暴露给未经授权的访问。
“其中一个应用程序是内容管理系统 (CMS),它为 Bing.com 提供支持,让我们不仅可以修改搜索结果,还可以对 Bing 用户发起高影响力的 XSS 攻击,”云安全公司 Wiz 在一份报告中说。“这些攻击可能会损害用户的个人数据,包括 Outlook 电子邮件和 SharePoint 文档。”
这些问题已于 2022年1月和 2022年2月报告给微软,随后这家科技巨头应用了修复程序并向 Wiz 提供了 40000 美元的漏洞赏金。雷德蒙德表示,它没有发现任何证据表明这些错误配置在野外被利用。
该漏洞的症结源于所谓的“共享责任混淆”,其中 Azure 应用程序可能被错误地配置为允许来自任何 Microsoft 租户的用户,从而导致潜在的意外访问情况。