A principios de este año se encontró una vulnerabilidad que podría comprometer la seguridad de millones de cuentas de Microsoft 365. Los investigadores de Wiz detectaron un agujero en Azure que podría explotarse para acceder al CMS de Bing y recopilar información confidencial de aplicaciones de Microsoft como Teams, Outlook y la suite Office. El error fue descubierto en Azure .
Una investigadora de seguridad en la nube de Wiz llamada Hillai Ben-Sasson explicó cómo la empresa pudo manipular los resultados de búsqueda de Bing y “tomar el control de millones de cuentas de Office 365”.
Después de iniciar sesión en Bing Trivia con su propio usuario de Azure, los investigadores descubrieron un CMS que estaba vinculado a Bing.com. Este descubrimiento se realizó después de que los investigadores descubrieran que el 25 % de las aplicaciones multiusuario que se escanearon en Internet eran vulnerables. Una de estas aplicaciones era una aplicación creada por Microsoft llamada “Bing Trivia”. Wiz advirtió en un estudio que las organizaciones que tenían aplicaciones de Azure Active Directory (AAD) configuradas como multiusuario y carecían de verificaciones de permisos eran vulnerables a ataques que eran iguales o muy similares a los que ya habían ocurrido. Por lo tanto, los administradores deben asegurarse de que el acceso multiinquilino esté configurado correctamente o cambiar a la autenticación de un solo inquilino si no es necesario el multiinquilino. Si no se requiere la tenencia múltiple, los administradores deben pasar a la autenticación de tenencia única.
Además de esto, demostraron su capacidad para afectar resultados de búsqueda arbitrarios en Bing.com al cambiar momentáneamente el contenido de un término que estaba almacenado dentro del CMS. Si alguien con un propósito nefasto accediera a la página de la aplicación Bing Trivia, podría manipular los resultados de búsqueda, difundir información falsa y hacerse pasar por otros sitios web en un esfuerzo por obligar a los usuarios a revelar su información personal. Es posible que un actor de amenazas obtenga acceso a documentos y correos electrónicos almacenados en SharePoint y Outlook. Los archivos almacenados en OneDrive, los calendarios en Outlook y las conversaciones enviadas a través de Teams estaban en peligro de hacerse públicos.
Los investigadores descubrieron que era posible que comprometieran el token de Office 365 de cualquier usuario de Bing mediante el uso de una técnica llamada secuencias de comandos entre sitios (XSS). Los usuarios pueden buscar sus datos de Office 365 utilizando el área “Trabajo” de Bing, lo que es posible gracias a la integración entre Bing y Office 365. Los investigadores pudieron crear una carga útil XSS utilizando esta capacidad, lo que les permitió robar los tokens de acceso a Office 365 de los usuarios.
Si un atacante tiene en sus manos un token robado, podrá acceder a los datos de Office 365 de los usuarios de Bing. Esto incluye los correos electrónicos de Outlook, los calendarios, los chats de Teams, los documentos de SharePoint y los archivos de OneDrive de los usuarios. Existía la posibilidad de que millones de usuarios estuvieran expuestos a resultados de búsqueda fraudulentos y que se robaran datos de Office 365.
La falla de seguridad que se encontró en Bing.com sirve como una advertencia oportuna de que incluso un descuido aparentemente pequeño por parte de un desarrollador puede tener repercusiones significativas, incluido el potencial de derribar uno de los sitios web más visitados del mundo. La adaptabilidad de la infraestructura que proporciona la nube ayuda a acelerar la innovación, pero también introduce cambios y nuevas amenazas.
Wiz informó a Microsoft sobre la vulnerabilidad en Bing y el gigante del software la rectificó casi inmediatamente después de recibir la advertencia. El 25 de febrero de 2023, la empresa de investigación alertó a Microsoft de la existencia de otros programas que incluían vulnerabilidades. El 20 de marzo de 2023, Microsoft le verificó a Wiz que todos los problemas asociados con el problema se habían resuelto.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.