微软被发现重大漏洞,黑客能够改变 Bing 搜索结果和主页内容,并且能够读取 Office 365 用户的数据
Wiz Research 在 Azure Active Directory 中发现了一种新的攻击媒介,它会将配置错误的应用程序暴露给未经授权的访问。
我们(指 Wiz Research )发现了几个具有高影响力且易受攻击的 Microsoft 应用程序。其中一个应用程序是内容管理系统 (CMS),它为 Bing.com 提供支持,使我们不仅可以修改搜索结果,还可以对 Bing 用户发起高影响 XSS 攻击。这些攻击可能会损害用户的个人数据,包括 Outlook 电子邮件和 SharePoint 文档。
在这篇博文中,我们将展示 Microsoft 本身如何成为 AAD 配置挑战的牺牲品,并无意中将内部应用程序暴露给外部攻击者。这些应用程序允许我们查看和更改各种类型的敏感 Microsoft 数据。在一个特定案例中,我们能够操纵 Bing.com 上的搜索结果并对 Bing 用户执行 XSS 攻击,从而可能暴露客户的 Office 365 数据,例如电子邮件、聊天和文档。此博客还将提供有关错误配置的详细信息,以及如何在您的环境中检测和缓解它们。
—— Wiz Research
发表回复