微软修复Azure Active Directory漏洞
关键要点
微软发布补丁修复Azure Active Directory的配置问题,防止未授权访问关键应用程序。漏洞起因于共享责任混淆,导致Azure应用可被错误配置,从而允许用户在任何Microsoft租户中访问。研究显示多个微软应用如Bing Trivia存在此问题,存在被使用来发起跨站脚本攻击的风险。恶意攻击者能利用此漏洞劫持热门搜索结果,泄露数百万用户的敏感数据。微软对发现漏洞的Wiz公司给予了40000的奖励。微软最近发布了一项补丁,以解决Azure Active Directory中的配置问题。这一问题可能导致未授权访问重要的应用程序。《黑客新闻》的报道称,这一漏洞的根本原因在于所谓的共享责任混淆。具体来说,Azure应用可能被错误配置,使得用户可以在任何Microsoft租户中进行访问,而无需授权。
蓝鸟加速器官网云安全公司Wiz的研究人员指出,多个微软应用程序,包括Bing Trivia,也表现出此种行为。在Bing的情况下,这种配置问题带来了关键风险,可能被用来发起跨站脚本攻击,进而窃取Outlook电子邮件、OneDrive文件、Teams消息以及SharePoint文档。根据Wiz研究员Hillai BenSasson的说法,拥有相同访问权限的恶意行为者能够劫持热门搜索结果,使用相同的攻击载荷,从数百万用户那里泄露敏感数据。微软在获知这一漏洞后,向Wiz公司授予了40000的漏洞奖励。
注意:确保您的Azure Active Directory应用程序配置正确,以防止未经授权的访问。同时,企业应定期检查其应用程序的安全性,及早识别并修复潜在漏洞。
如需更多信息,请访问Wiz的官方网站获取更多安全知识和更新。
