Ein Sicherheitsforscher war in der Lage eigene Ergebnisse in Bing, der Suchmaschine von Microsoft, ganz oben zu platzieren und mit Schadsoftware zu versehen. Er hätte damit Zugangscookies von angemeldeten Office365-Kunden stehlen können.
Azure Active Directory wird von Microsoft als Cloud-Dienst angeboten, wird aber auch für interne Dienste zum Identitätsmanagement verwendet. Der Sicherheitsforscher konnte durch eine Fehlkonfiguration Zugriff auf interne Administrationswerkzeuge für die Bing-Suchmaschine erlangen.
Die Vorteile, die Azure AD bietet, wie Nutzerauthentifizierung ohne Programmieraufwand und Single-Sign-On bringen einen großen Mehrwert für Administratoren und Entwickler. Wenn Cloud-Admins allerdings die “multi tenancy” öffnen, geben Sie Angreifern Möglichkeiten zum Eintritt.
Sicherheitsforschern der Firma Wiz fanden Anfang des Jahres eine angreifbare Azure-App und waren in der Lage über ein AD-Login Zugriff auf das Microsoft-interne Content Management System zu erlangen. Damit konnten sie Änderungen von Suchergebnissen, die live auf bing.com publiziert wurden vornehmen und auch das Hintergrundbild der Bing-Startseite ändern.
Über diese Sicherheitslücke gelang es ihnen eigenen JavaScript-Code in die Suchmaschine einzuschleusen, der mit deren Privilegien ausgeführt wurde. Über eine Office365-API konnten die Mitarbeiter von Wiz Zugrifftokens der webbasierten Office-Suite abgreifen und wären in der Lage gewesen, E-Mails, Kalendereinträge, Teams-Nachrichten und Dokumente aus Sharepoint und OneDrive zu stehlen.
Die Entdecker meldeten diesen Fund dem Microsoft Security Response Center (MRSC), welches noch am selben Tag einen Hotfix einspielte. Die Sicherheitsforscher erhielten 40.000 US-Dollar für die Meldung der Lücke. Dieses Geld wollen sie spenden.
Wer Azure AD einsetzt, sollte den Blogartikel der Entwickler lesen, wo auch beschrieben wird, wie man die eigene Umgebung absichert.