微软修复影响必应搜索和主要应用程序的新Azure AD漏洞

阅读量120252

发布时间 : 2023-04-04 09:01:21

Microsoft 已修补影响 Azure Active Directory (AAD)标识和访问管理服务的错误配置问题,该问题将多个“高影响”应用程序暴露给未经授权的访问。

“其中一个应用程序是内容管理系统 (CMS),它为 Bing.com 提供支持,让我们不仅可以修改搜索结果,还可以对 Bing 用户发起高影响力的 XSS 攻击,”云安全公司 Wiz 在一份报告中说。“这些攻击可能会损害用户的个人数据,包括 Outlook 电子邮件和 SharePoint 文档。”

这些问题已于 2022年1月和 2022年2月报告给微软,随后这家科技巨头应用了修复程序并向 Wiz 提供了 40000 美元的漏洞赏金。雷德蒙德表示,它没有发现任何证据表明这些错误配置在野外被利用。

该漏洞的症结源于所谓的“共享责任混淆”,其中 Azure 应用程序可能被错误地配置为允许来自任何 Microsoft 租户的用户,从而导致潜在的意外访问情况。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+13赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66