Un error de configuración en AAD permite el acceso a Bing y manipular los resultados de las búsquedas

Archivo - Recurso Buscador bing logo
Archivo - Recurso Buscador bing logo - PORTALTIC - Archivo
Publicado: jueves, 30 marzo 2023 16:44

   MADRID, 30 Mar. (Portaltic/EP) -

   Un error de configuración en la plataforma de Azure de Microsoft ha permitido el acceso a servicios de la compañía tecnológica permitiendo la manipulación de los resultados de búsqueda en Bing y el espionaje y robo de datos de trabajadores que usan las 'apps' de Office 365.

   La configuración errónea se ha identificado en Azure Active Directory (AAD), el servicio que permite la autenticación del usuario en entornos profesionales, y ha dejado expuestos varios servicios de Microsoft, hasta el punto de que un actor malicioso podría no solo ver datos sensibles sino también manipularlos.

   AAD ofrece distintos servicios de inicio de sesión, ya sea con una cuenta individual, con multiusuario, con una cuenta personal o con una combinación de estas dos últimas. Precisamente, el error de configuración se localizó en el proceso de validación multiusuario (o multinquilino), en el que cualquier usuario de Azure puede iniciar sesión y son los desarrolladores quienes validan al usuario.

   En concreto, los investigadores de Wiz descubrieron que el 25 por ciento de todas las aplicaciones multiusuario que analizaron eran vulnerables a la omisión de autenticación, es decir, no contaban con una validación apropiada, como recogen en la explicación publicada en su blog oficial.

   Una de las aplicaciones afectadas fue Bing.com, el buscador de Microsoft. Con el error de configuración, los investigadores crearon un usuario con su propia cuenta de Azure para acceder a Bing Trivia, una app que secciones de contenidos de este servicio, como los carruseles, las encuestas o las imágenes de fondo. No habían sido validados como inquilinos.

   Dentro de ella pudieron realizar modificaciones en un carrusel de una consulta sobre 'Las mejores bandas sonoras', de tal forma que en lugar de Dune (2021), que aparecía en primera posición, escribieron Hackers (1995), una edición que guardaron y que estuvo visible en los resultados que ofrecía el buscador.

   "Esto demostró que podíamos controlar los resultados de búsqueda de Bing", afirman los investigadores, quienes más tarde extendieron este control al contenido de la página de inicio del buscador.

   Los instigadores también ejecutaron una carga útil "inofensiva" con el objetivo de comprobar la viabilidad de un ataque de inyección de código. Descubrieron una sección denominada 'Trabajo, basada en la API de Office 365, que al ser atacada, les dio acceso a la información de la víctima (en este caso, su propio usuario): correos electrónicos, mensajes de Teams, documentos compartidos en SharePoint y archivos de OneDrive.

Leer más acerca de: