Un'applicazione Microsoft impostata in modo inadeguato ha reso vulnerabili i risultati di ricerca di Bing.com a manipolazioni esterne e attacchi XSS, compromettendo la sicurezza degli account degli utenti Office 365. La problematica, denominata "BingBang" da Wiz Research, è stata segnalata a Microsoft il 31 gennaio 2023 e risolta il 28 marzo 2023.
Wiz Research ha scoperto che un'applicazione sviluppata tramite Azure App e Azure Functions poteva essere configurata erroneamente, permettendo l'accesso a utenti di qualsiasi account Microsoft, anche quelli pubblici. Questa situazione si è verificata a causa dell'opzione "Support account types", che consente agli sviluppatori di indicare quali tipologie di account possono accedere all'applicazione. Tuttavia, se un programmatore assegna autorizzazioni più permissive, ciò può portare a intrusioni indesiderate.
In particolare, gli esperti di Wiz hanno individuato un'app chiamata "Bing Trivia", che permetteva loro di alterare i risultati di ricerca e effettuare attacchi XSS. Dopo aver confermato l'attacco XSS, Wiz ha collaborato con Microsoft per valutarne le conseguenze, constatando che era possibile compromettere i token Office 365 di qualsiasi utente Bing che visualizzasse il carosello nei risultati di ricerca, ottenendo l'accesso completo agli account. Microsoft ha prontamente cessato di emettere token di accesso ai client non registrati, limitando l'accesso esclusivamente quelli correttamente registrati, e introducendo ulteriori meccanismi di sicurezza per le applicazioni multi-tenant. Wiz Research, per la divulgazione responsabile delle proprie scoperte, ha ricevuto un premio di 40.000 dollari.
L'episodio evidenzia l'importanza di prestare attenzione all'impostazione delle applicazioni, soprattutto per quelle multi-tenant, e alle autorizzazioni. Infatti, sviluppatori e amministratori devono essere consapevoli dei rischi e garantire che le applicazioni siano sicure e adeguatamente configurate.
.jpg)
