Голям експлойт на Microsoft позволявал манипулация на резултатите от търсенето в Bing и получаване на достъп до акаунти в Outlook
Изследователи са разкрили накърнимост в платформата Azure на Microsoft, която разрешава на потребителите да получат достъп до персонални данни от приложения на Office 365 като Outlook, Teams и OneDrive
Емил Василев преди 9 секунди 5 СподелиНай-четени
АвтомобилиДаниел Десподов - 11:09 | 27.03.2023„ Това е безспорна изненада за всички нас “ – правосъдни реализатори започнаха да разказват и запорират имуществото на съветския цех Volkswagen
IT НовиниЕмил Василев - 20:10 | 27.03.2023Производител на муниции в Норвегия не може да работи, тъй като център за данни на TikTok наоколо употребява цялото електричество
КриптовалутиВелимир Кръстев - 16:00 | 28.03.2023Около $850 милиона са били изтеглени от Binance часове преди новината за делото
Емил Василевhttps://www.kaldata.com/По-рано тази година беше открита рискова накърнимост в търсачката Bing на Microsoft, която позволяваше на потребителите да трансформират резултатите от търсенето и да получават достъп до персонална информация на други консуматори на Bing от приложения като Teams, Outlook и Office 365. Още през януари откриватели по сигурността от Wiz откриха неправилна настройка в Azure – платформата за калкулации в облак на Microsoft, която компрометира Bing, позволявайки на всеки консуматор на Azure да получи достъп до приложения без позволение.
Уязвимостта беше открита в услугата за ръководство на идентичността и достъпа Azure Active Directory (AAD). Приложенията, употребяващи разрешенията на платформата са налични за всеки консуматор на Azure, което постанова разработчиците да удостоверяват кои консуматори могат да имат достъп до техните приложения. Тази отговорност не всеки път е ясна, заради което неверните конфигурации са постоянно срещано събитие – Wiz твърди, че 25% от всички сканирани от тях многофункционални приложения не са имали вярна валидация.
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure…
