Robo de datos de millones de clientes de Office365

Autor: Snoke Connect
viernes, mar. 31, 2023

Un investigador de seguridad consiguió colocar sus propios resultados en la parte superior de Bing, el motor de búsqueda de Microsoft, y dotarlos de malware. Podría haber utilizado esto para robar las cookies de acceso de los clientes de Office365 que habían iniciado sesión.

Microsoft ofrece Azure Active Directory como servicio en la nube, pero también se utiliza para servicios internos de gestión de identidades. El investigador de seguridad pudo acceder a las herramientas de administración interna del buscador Bing a través de una configuración errónea.

Las ventajas que ofrece Azure AD, como la autenticación de usuarios sin esfuerzo de programación y el inicio de sesión único, aportan un gran valor añadido a administradores y desarrolladores. Sin embargo, si los administradores de la nube abren el “multi-tenancy”, dan oportunidades a los atacantes para entrar.

Los investigadores de seguridad de Wiz encontraron una aplicación Azure vulnerable a principios de este año y pudieron acceder al sistema de gestión de contenidos interno de Microsoft a través de un inicio de sesión AD. Esto les permitió realizar cambios en los resultados de búsqueda publicados en directo en bing.com y también cambiar la imagen de fondo de la página de inicio de Bing.

A través de esta vulnerabilidad, pudieron inyectar su propio código JavaScript en el motor de búsqueda, que se ejecutó con sus privilegios. Utilizando una API de Office365, los empleados de Wiz pudieron acceder a tokens de acceso de la suite Office basada en web y habrían podido robar correos electrónicos, entradas de calendario, mensajes de equipo y documentos de Sharepoint y OneDrive.

Los descubridores informaron de este hallazgo al Centro de Respuesta de Seguridad de Microsoft (MRSC), que aplicó un hotfix el mismo día. Los investigadores de seguridad recibieron 40.000 dólares por informar de la vulnerabilidad. Quieren donar este dinero.

Quienes utilicen Azure AD deberían leer el artículo del blog de los desarrolladores, que también describe cómo proteger su propio entorno.

¿Tiene preguntas sobre la seguridad informática?

Fuente: https://www.heise.de/news/Azure-Luecke-erlaubte-Datenklau-bei-Millionen-Office365-Kunden-8248329.html

Contacto

SNOKE CONNECT S.L.

  Camino del Morro, 17
  35640, La Oliva, Spain
moc.tcennoc-ekons@tcatnoc