Microsoft-ը վերաշտկել է սխալ կոնֆիգուրացիաների խնդիրը, որը զգալիորեն ազդում էր Azure Active Directory (AAD) ինքնության և մուտքի կառավարման վրա՝ այն ենթարկելով չարտոնված մուտքերի:
Տվյալ խնդրի մասին Microsoft-ին տեղեկատվություն փոխանցվեց 2022 թվականի հունվար-փետրվար ամիսներին, որից հետո տեխնոլոգիական ոլորտի հսկան կիրառեց համապատասխան շտկումներ և Wiz-ին շնորհեց 40,000 ԱՄՆ դոլար պարգևավճար: Ռեդմոնդնի հավաստամամբ, ոչ մի ապացույց չի գտնվել, որ տվյալ կոնֆիգուրացիաները լայն կիրառություն են գտել մասսայական կիրառման մեջ:
Խոցելիության էությունը բխում է այսպես կոչվող՝ «կիսվող պատասխանատվության շփոթությունից», որտեղ Azure հավելվածը կարող է սխալ կոնֆիգուրացվել և հանգեցնել չնախատեսված մուտքերի:
Այս ամենն իր մեջ ներառում է նաև Bing Trivia հավելվածը, որը կիբերանվտանգության ընկերությունն օգտագործում է Bing-ում որոնման արդյունքները փոխելու և նույնիսկ գլխավոր էջի բովանդակությունը տարածելու համար՝ որպես BingBang կոչվող հարձակման շղթայի մի մաս:
«Նույն հաջողությամբ և հասանելիությամբ հաքերը կարող էր առևանգել նաև որոնման ամենահայտնի արդյունքները և միլիոնավոր օգտատերերից կոնֆիդենցյալ տվյլաներ կորզել», – նշում է Wiz-ի հետազոտող՝ Հիլայ Բեն-Սասսոնը:
Զարգացումը տեղի ունեցավ այն ժամանակ, երբ NetSPI ընկերությունը մանրամասներ բացահայտեց Power Platform-ի միացիչների խոցելիության մասին, որը կարող էր և չարաշահվել` կոնֆիդենցյալ տվյալներին հասանելիություն ապահովելու համար:
Հետազոտությունն իր մեջ ենթաադրում է նաև Super FabriXss-ի (CVE-2023-23383, CVSS:8.2) շահագործումը, որն արտացոլված է Azure Service Fabric Explorer-ի (SFX) XSS խոցելիության մեջ, ինչն էլ կարող է հանգեցնել չհաստատված remote կոդի կատարմանը:
Աղբյուրը՝ https://thehackernews.com/
