/cdn.vox-cdn.com/uploads/chorus_asset/file/23262657/VRG_Illo_STK001_B_Sala_Hacker.jpg)
今年初め、Microsoft の Bing 検索エンジンで危険な脆弱性が検出され、ユーザーが検索結果を変更したり、Teams、Outlook、Office 365 などから他の Bing ユーザーの個人情報にアクセスしたりできるようになりました。 Azure で構成ミスを発見 — Microsoft のクラウド コンピューティング プラットフォーム — Bing を侵害し、Azure ユーザーが承認なしでアプリケーションにアクセスできるようにしました。
この脆弱性は、Azure Active Directory (AAD) ID およびアクセス管理サービスで検出されました。 プラットフォームのマルチテナント アクセス許可を使用するアプリケーションは、すべての Azure ユーザーがアクセスできるため、開発者はどのユーザーがアプリにアクセスできるかを検証する必要があります。 この責任は常に明確であるとは限らないため、構成ミスがよく発生します — Wiz は、スキャンしたすべてのマルチテナント アプリの 25% が適切な検証を欠いていたと主張しています。
これらのアプリの 1 つが Bing Trivia でした。 研究者は、自分の Azure アカウントを使用してアプリにログインでき、Bing.com のライブ検索結果を制御できるコンテンツ管理システム (CMS) を発見しました。 Wiz は、Bing Trivia アプリのページにたどり着いた人は誰でも、Bing の検索結果を操作して、誤った情報やフィッシング キャンペーンを開始した可能性があることを強調しています。
Bing の[仕事]セクションの調査では、エクスプロイトを使用して他のユーザーの Office 365 データにアクセスし、Outlook の電子メール、カレンダー、Teams メッセージ、SharePoint ドキュメント、および OneDrive ファイルを公開できることも明らかになりました。 Wiz は、この脆弱性を利用して、シミュレートされた被害者の受信トレイから電子メールを読み取ることに成功したことを実証しました。 Mag News、Contact Center、PoliCheck、Power Automate Blog、Cosmos など、Microsoft のクラウド上の 1,000 を超えるアプリと Web サイトで、同様の構成ミスのエクスプロイトが発見されました。
「潜在的な攻撃者は、Bing の検索結果に影響を与え、Microsoft 365 の電子メールと何百万人ものデータを侵害した可能性があります」と Wiz の最高技術責任者である Ami Luttwak 氏 に言いました ウォールストリートジャーナル. 「それは、世論に影響を与えようとする国民国家か、金銭目的のハッカーであった可能性があります。」
このエクスプロイトは、Microsoft が Bing の AI を利用したチャット機能を開始するわずか数日前の 2 月 2 日にパッチが適用されました。
Bing の脆弱性は、1 月 31 日にマイクロソフトのセキュリティ レスポンス センターに報告されました。 Luttwak (経由で見た ウォールストリートジャーナル)。 Wiz はその後、2 月 25 日に他の脆弱なアプリケーションにフラグを立て、報告されたすべての問題が 3 月 20 日に修正されたことを Microsoft が確認したと述べました。 マイクロソフトはまた、同社が作ったと言った 追加の変更 将来の設定ミスのリスクを軽減します。
Bing は最近人気が急上昇しており、2 月 7 日に AI を活用した Bing チャット機能を開始した後、今月初めに 1 億人のアクティブ ユーザーのマイルストーンを超えました。 数日前にこの問題にパッチが適用されていなければ、Bing の爆発的な成長により、危険で非常にアクセスしやすいセキュリティ エクスプロイトが、何百万人ものユーザーに広く浸透していた可能性があります。 類似ウェブ、Bing は、世界で 30 番目に訪問された Web サイトです。
昨年 10 月、同様に誤って構成された Microsoft Azure エンドポイントが原因で、 BlueBleed データ侵害 123 か国の 150,000 社の企業のデータが公開されました。 Microsoft のクラウド ネットワークの最新の脆弱性も、同社が新しい Microsoft Security Copilot サイバーセキュリティ ソリューションを企業に販売しようとしているのと同じ週にさかのぼって公開されています。
Wiz は、パッチが適用される前に脆弱性が悪用されたという証拠はないと述べた。 とはいえ、Azure Active Directory のログは、以前のアクティビティに関する詳細を必ずしも提供するとは限りません。 できる 何年もの間悪用されてきました。 Wiz は、Azure Active Directory アプリケーションを使用している組織は、アプリケーション ログをチェックして、セキュリティ違反を示す疑わしいログインがないかどうかを確認することをお勧めします。