Beveiligingsonderzoekers konden eerder dit jaar via een misconfiguratie in Azure zoekresultaten van Bing aanpassen. Ze kregen ook toegang tot private klantendata uit Teams en Outlook.
Zelfs Microsoft is niet immuun voor misconfiguraties in de cloud. Beveiligingsonderzoekers van Wiz ontdekten zo’n foutieve configuratie in Azure en konden die uitbuiten, met best wel verregaande gevolgen. Dat rapporteert The Wall Street Journal. Langs de ene kant konden de onderzoekers de zoekresultaten van Bing manipuleren, wat vooral jammer is voor het handvol gebruikers dat zijn standaardzoekmachine op Windows niet zomaar kan aanpassen. Langs de andere kant kregen de testers toegang tot Microsoft-toepassingen en bijhorende data van klanten.
AD-probleem
De fout in kwestie dateert van januari en zat in de Azure Active Directory-service. Daar kan je een app configureren voor gebruik door meerdere accounts, maar via die instelling heeft standaard iedereen toegang. Het is aan de eigenaar om de configuratie verder aan te passen met de juiste toegangsrechten.
Via de eigen accounts merkten de onderzoekers zo dat ze toegang hadden tot het Bing Trivia-cms, waar ze resultaten konden aanpassen om zo in theorie fake news te verspreiden of phishing-aanvallen op te zetten.
Toegang tot mails
Verder onderzoek wees uit dat dezelfde fout toegang gaf tot Microsoft 365-data van Microsoft-klanten. Het ging daarbij om onbetwistbaar erg gevoelige informatie, zoals mails in Outlook, agenda’s, teams-berichten en SharePoint-documenten. De experts van Wiz demonstreerden hoe ze konden meelezen in de mailbox van een gesimuleerd slachtoffer. De misconfiguratie in kwestie bleek alomtegenwoordig in het Microsoft-ecosysteem.
lees ook
Windows 11 werkt aan pop-up om onveilige wachtwoorden te melden
Op 31 januari werd de kwetsbaarheid in Bing aan Microsoft meegedeeld. Dat probleem werd op 2 februari verholpen. Op 25 februari deelde Wiz de bijkomende bug die toegang gaf tot Microsoft 365. Het duurde tot 20 maart voor de achterpoortjes op slot waren. Microsoft geeft aan dat het ook aan de eigen interne processen geschaafd heeft om gelijkaardige problemen in de toekomst te voorkomen.
Niet uitgebuit
De kwetsbaarheid, die de mensen van Wiz BingBang doopten, zou op tijd ontdekt en gepatcht zijn zonder dat hackers de kans hebben gekregen om ze uit te buiten. Klantendata was dus enkel in theorie publiek beschikbaar, zonder gevolgen in de praktijk.