加速器怎么加速
网络安全公司Wiz报告了一起Azure活动目录(AAD)配置错误事件,该事件导致应用程序容易受到未经授权的访问,并可能导致Bing.com被劫持。
微软基于云的身份和访问管理(IAM)服务,即AAD,通常被用作Azure应用服务和Azure功能应用的身份验证方法。
网络安全公司Wiz Research发现了这一安全漏洞,并将这一漏洞命名为 "BingBang"。 开发人员可以使用 "支持账户类型 "配置设置来确定哪些账户类型应被允许访问应用程序,包括多租户、个人账户或两者的组合。
该配置选项适用于开发人员需要在不同组织间访问其应用程序的合法场景。
如果开发人员不小心授予了过多的权限,可能会导致未经授权访问应用程序及其功能。
Wiz的分析师发现了一个配置错误的 "Bing Trivia "应用程序,该应用程序允许不受限制地访问其CMS,该CMS直接链接到Bing.com。 他们成功修改了搜索结果并进行了跨站脚本攻击,导致Bing用户的Office 365令牌泄露。
Wiz向微软报告了这一问题,并共同评估了此次攻击的影响,该攻击可访问SharePoint文档、Outlook电子邮件、Teams上的消息、日历数据和OneDrive文件等敏感数据。
特别重要的是,微软已经采取了一项措施,停止向未在资源租户中注册的客户发放访问令牌,从而限制只有经过适当注册的客户才能访问。
根据微软的公告,"超过99%的客户应用程序 "已经禁用了该功能。 微软已经向全局管理员(通过Azure门户和电子邮件)和Microsoft 365消息中心提供了指导,说明如何处理剩余的多租户资源应用程序,这些应用程序依赖于无服务委托人的客户端访问。
针对多租户应用程序实施了进一步的安全检查,包括根据指定的允许列表验证租户ID和验证客户注册(服务委托人)。
