Een lek in de configuratie van Azure zorgde ervoor dat elke gebruiker kon inloggen op het CMS waarmee Microsoft Bing beheert. Vervolgens konden zij zoekresultaten aanpassen en zelfs een payload invoegen om accounts van gebruikers binnen te dringen.
De onderzoekers noemen het lek BingBang. Het is een misconfiguratie van Azure Active Directory. Het selecteren van de alternatieve optie in de back-end om gebruikers in de eigen directory toegang te geven leidt ertoe dat iedereen met een Azure-account toegang heeft. Dat bleek onder meer het geval bij de toepassing Bing Trivia, waarmee Microsoft zoekresultaten over trivia beheert.
In de carrousel boven in beeld. Ook konden de onderzoekers een payload plaatsen om tokens te onderscheppen van ingelogde gebruikers. Van elke gebruiker die erop klikt, kunnen de aanvallers daarmee in alle Microsoft-toepassingen, zoals Outlook-mail en Sharepoint.
De onderzoekers stelden Microsoft op 31 januari op de hoogte. Het lek was dicht op 2 februari. Vervolgens hebben de onderzoekers gewacht tot alle Azure-platforms waar ook elke gebruiker kon inloggen op het lek dat gedicht voor ze had informatie over BingBang naar buiten verplaatst.
credit :Source link