L’exploit Microsoft pourrait contrôler les résultats de recherche Bing et les données Office 365

Une vulnérabilité dangereuse a été détectée dans le moteur de recherche Bing de Microsoft plus tôt cette année, permettant aux utilisateurs de modifier les résultats de recherche et d’accéder aux informations privées d’autres utilisateurs de Bing à partir de Teams, Outlook et Office 365. En janvier, des chercheurs en sécurité de Wiz découvert une mauvaise configuration dans Azure — La plate-forme de cloud computing de Microsoft — qui a compromis Bing, permettant à tout utilisateur d’Azure d’accéder à des applications sans autorisation.

La vulnérabilité a été détectée dans le service de gestion des identités et des accès Azure Active Directory (AAD). Les applications utilisant les autorisations multi-locataires de la plateforme sont accessibles par tout utilisateur Azure, ce qui oblige les développeurs à valider quels utilisateurs peuvent accéder à leurs applications. Cette responsabilité n’est pas toujours claire, ce qui rend les erreurs de configuration courantes. Wiz affirme que 25 % de toutes les applications multi-locataires qu’il a analysées manquaient d’une validation appropriée.

L’une de ces applications était Bing Trivia. Les chercheurs ont pu se connecter à l’application à l’aide de leurs propres comptes Azure, où ils ont découvert un système de gestion de contenu (CMS) qui leur permettait de contrôler les résultats de recherche en direct sur Bing.com. Wiz souligne que toute personne qui a atterri sur la page de l’application Bing Trivia pourrait avoir potentiellement manipulé les résultats de recherche de Bing pour lancer des campagnes de désinformation ou de phishing.

Une enquête sur la section Work de Bing a également révélé que l’exploit pouvait être utilisé pour accéder aux données Office 365 d’autres utilisateurs, exposant les e-mails Outlook, les calendriers, les messages Teams, les documents SharePoint et les fichiers OneDrive. Wiz a démontré qu’il utilisait avec succès la vulnérabilité pour lire les e-mails de la boîte de réception d’une victime simulée. Plus de 1 000 applications et sites Web sur le cloud de Microsoft ont été découverts avec des exploits de mauvaise configuration similaires, notamment Mag News, Contact Center, PoliCheck, Power Automate Blog et Cosmos.

“Un attaquant potentiel aurait pu influencer les résultats de recherche Bing et compromettre les e-mails et les données Microsoft 365 de millions de personnes”, a déclaré Ami Luttwak, directeur de la technologie de Wiz. dit à Le journal de Wall Street. “Cela aurait pu être un État-nation essayant d’influencer l’opinion publique ou un pirate informatique motivé financièrement.”

La vulnérabilité Bing a été signalée au Security Response Center de Microsoft le 31 janvier. Microsoft a corrigé le problème le 2 février, selon Luttwak (vu via Le journal de Wall Street). Wiz a ensuite signalé les autres applications vulnérables le 25 février et a déclaré que Microsoft avait confirmé que tous les problèmes signalés avaient été résolus le 20 mars. Microsoft a également déclaré que la société avait fait modifications supplémentaires pour réduire le risque de mauvaises configurations futures.

Bing a connu un regain de popularité ces derniers temps, dépassant le cap des 100 millions d’utilisateurs actifs quotidiens plus tôt ce mois-ci après le lancement de sa fonctionnalité Bing Chat alimentée par l’IA le 7 février. Si le problème n’avait pas été corrigé quelques jours auparavant, la croissance explosive de Bing aurait pu diffuser plus largement l’exploit de sécurité dangereux et hautement accessible à des millions d’utilisateurs – selon SimilairewebBing est le 30e site Web le plus visité au monde.

En octobre de l’année dernière, un point de terminaison Microsoft Azure mal configuré de la même manière a entraîné le Violation de données BlueBleed qui a exposé les données de 150 000 entreprises dans 123 pays. La dernière vulnérabilité du réseau cloud de Microsoft est également divulguée rétroactivement la même semaine que la société tente de vendre sa nouvelle solution de cybersécurité Microsoft Security Copilot aux entreprises.

Wiz a déclaré qu’il n’y avait aucune preuve que la vulnérabilité avait été exploitée avant d’être corrigée. Cela dit, les journaux Azure Active Directory ne fourniront pas nécessairement de détails sur l’activité précédente, et Wiz affirme que le problème pourrait sont exploitables depuis des années. Wiz recommande aux organisations disposant d’applications Azure Active Directory de vérifier leurs journaux d’application pour toute connexion suspecte qui indiquerait une faille de sécurité.