Изследователи са открили уязвимост в платформата Azure на Microsoft, която дава възможност на потребителите да получават достъп до личните данни на потребителите от приложенията на Office 365 включително Outlook, Teams и OneDrive.

По-рано тази година в търсачката Bing на Microsoft бе открита опасна уязвимост, която даваше възможност на потребителите да променят резултатите от търсенето и да получат достъп до личната информация на други потребители на Bing от приложения като Teams, Outlook и Office 365. Още през месец януари специалисти по информационна безопасност от компанията Wiz откриха неправилна конфигурация в Azure - платформата за изчисления в електронния облак на Microsoft, която компрометира Bing, позволявайки на всеки потребител на Azure да получи достъп до приложения без разрешение и без необходимите права.

The Verge съобщава, че уязвимостта е открита в услугата за управление на идентичността и достъпа Azure Active Directory (AAD). Приложенията, използващи разрешенията на платформата са достъпни за всеки потребител на Azure, което налага разработчиците да потвърждават кои потребители могат да имат достъп до техните приложения. Тази отговорност невинаги е ясна, поради което грешните конфигурации са често срещано явление – Wiz твърди, че 25% от всички сканирани от тях многофункционални приложения не са имали правилна валидация.

Едно от тези приложения се оказа Bing Trivia. Изследователите са успели да влязат в приложението, използвайки собствените си акаунти в Azure, където открили система за управление на съдържанието (CMS), която им давала възможност да контролират резултатите от търсенето в реално време в Bing.com. Wiz подчертава, че всеки, който е бил на страницата на приложението Bing Trivia е можел потенциално да манипулира резултатите от търсенето в Bing, за да стартира дезинформационни или фишинг кампании.

Разследването на секцията Work на Bing разкри също, че експлойтът може да се използва за достъп до данните на други потребители в Office 365, като разкрива имейли от Outlook, календари, съобщения от Teams, документи от SharePoint и файлове от OneDrive. Wiz демонстрира, че успешно е използвал уязвимостта, за да прочете имейлите от симулирана пощенска кутия на жертвата. В облака на Microsoft бяха открити над 1000 приложения и уеб сайтове с подобни експлойти с неправилно конфигуриране, включително Mag News, Contact Center, PoliCheck, Power Automate Blog и Cosmos.

„Потенциален нападател би могъл да повлияе на резултатите от търсенето в Bing и да компрометира имейлите и данните на милиони хора в Microsoft 365. Това можеше да бъде държава, която се опитва да повлияе на общественото мнение, или финансово мотивиран хакер“ – заяви Ами Лутвак, главният технологичен директор на Wiz, пред The Wall Street Journal.

За тази уязвимост в Bing бе официално съобщено на 31-ви януари, а Microsoft реши проблема още на 2-ри февруари. Експертите на Wiz провериха, и на 25-ти февруари започнаха да извършват мониторинг на другите уязвими приложения и сега, в края на месец март официално обявиха, че всички докладвани от тях проблеми са отстранени.