微软修复Azure Active Directory漏洞
关键要点
- 微软发布补丁修复Azure Active Directory的配置问题,防止未授权访问关键应用程序。
- 漏洞起因于共享责任混淆,导致Azure应用可被错误配置,从而允许用户在任何Microsoft租户中访问。
- 研究显示多个微软应用(如Bing Trivia)存在此问题,存在被使用来发起跨站脚本攻击的风险。
- 恶意攻击者能利用此漏洞劫持热门搜索结果,泄露数百万用户的敏感数据。
- 微软对发现漏洞的Wiz公司给予了$40,000的奖励。
微软最近发布了一项补丁,以解决Azure ActiveDirectory中的。这一问题可能导致未授权访问重要的应用程序。的报道称,这一漏洞的根本原因在于所谓的共享责任混淆。具体来说,Azure应用可能被错误配置,使得用户可以在任何Microsoft租户中进行访问,而无需授权。
云安全公司Wiz的研究人员指出,多个微软应用程序,包括BingTrivia,也表现出此种行为。在Bing的情况下,这种配置问题带来了关键风险,可能被用来发起跨站脚本攻击,进而窃取Outlook电子邮件、OneDrive文件、Teams消息以及SharePoint文档。根据Wiz研究员HillaiBen-
Sasson的说法,拥有相同访问权限的恶意行为者能够劫持热门搜索结果,使用相同的攻击载荷,从数百万用户那里泄露敏感数据。微软在获知这一漏洞后,向Wiz公司授予了$40,000的漏洞奖励。
注意 :确保您的Azure Active
Directory应用程序配置正确,以防止未经授权的访问。同时,企业应定期检查其应用程序的安全性,及早识别并修复潜在漏洞。
如需更多信息,请访问获取更多安全知识和更新。