微软修复Azure Active Directory漏洞

关键要点

• 微软发布补丁修复Azure Active Directory的配置问题，防止未授权访问关键应用程序。
• 漏洞起因于共享责任混淆，导致Azure应用可被错误配置，从而允许用户在任何Microsoft租户中访问。
• 研究显示多个微软应用（如Bing Trivia）存在此问题，存在被使用来发起跨站脚本攻击的风险。
• 恶意攻击者能利用此漏洞劫持热门搜索结果，泄露数百万用户的敏感数据。
• 微软对发现漏洞的Wiz公司给予了$40,000的奖励。

微软最近发布了一项补丁，以解决Azure ActiveDirectory中的。这一问题可能导致未授权访问重要的应用程序。的报道称，这一漏洞的根本原因在于所谓的共享责任混淆。具体来说，Azure应用可能被错误配置，使得用户可以在任何Microsoft租户中进行访问，而无需授权。

云安全公司Wiz的研究人员指出，多个微软应用程序，包括BingTrivia，也表现出此种行为。在Bing的情况下，这种配置问题带来了关键风险，可能被用来发起跨站脚本攻击，进而窃取Outlook电子邮件、OneDrive文件、Teams消息以及SharePoint文档。根据Wiz研究员HillaiBen-
Sasson的说法，拥有相同访问权限的恶意行为者能够劫持热门搜索结果，使用相同的攻击载荷，从数百万用户那里泄露敏感数据。微软在获知这一漏洞后，向Wiz公司授予了$40,000的漏洞奖励。

注意 ：确保您的Azure Active
Directory应用程序配置正确，以防止未经授权的访问。同时，企业应定期检查其应用程序的安全性，及早识别并修复潜在漏洞。

如需更多信息，请访问获取更多安全知识和更新。