蓝点网
·
微软必应搜索的CMS系统"被黑" 险些造成数以百万计的用户信息泄露
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
根据Wiz Research的研究报告,发现Azure Active Directory中的新攻击向量,暴露了错误配置的应用程序,使未经授权的访问者能够进入。约25%的多租户应用程序易受攻击。研究人员还发现了易受攻击的Microsoft应用程序,包括支持Bing.com的内容管理系统(CMS),可以修改搜索结果并发起XSS攻击。问题已报告给微软安全响应中心(MSRC)团队,已修复易受攻击的应用程序并更新了客户指南以减少风险。Wiz Research建议参考博客中的“客户补救指南”来检测和减轻这些风险。
🎯
关键要点
- Wiz Research 发现 Azure Active Directory 中的新攻击向量,暴露了错误配置的应用程序。
- 约 25% 的多租户应用程序易受攻击,错误配置在 Azure App Services 和 Azure Functions 中常见。
- 研究人员发现支持 Bing.com 的内容管理系统(CMS)存在严重漏洞,允许修改搜索结果和发起 XSS 攻击。
- 所有问题已报告给微软安全响应中心(MSRC),并已修复易受攻击的应用程序。
- 研究人员通过扫描发现 'bingtrivia.azurewebsites.net' 应用程序,成功登录并修改了 Bing 的搜索结果。
- 研究人员验证了 XSS 攻击的可行性,成功获取了受害者的 Office 365 数据。
- Bing 是全球第 27 大访问量网站,数百万用户可能暴露于恶意搜索结果和数据盗窃中。
- 除了 Bing Trivia,研究人员还发现其他 Microsoft 应用程序存在类似错误配置。
- Wiz Research 建议参考博客中的 '客户补救指南' 来检测和减轻风险。
➡️
