Une application Microsoft mal configurée permettait à quiconque de se connecter et de modifier les résultats de recherche Bing.com en temps réel, ainsi que d’injecter des attaques XSS pour potentiellement violer les comptes des utilisateurs d’Office 365.
Le problème de sécurité a été découvert par Wiz Research, qui a nommé l’attaque « BingBang ».
Les analystes de Wiz ont signalé le problème à Microsoft le 31 janvier 2023 et le géant de la technologie a confirmé qu’il avait été résolu le 28 mars 2023.
Une mauvaise configuration
Les chercheurs de Wiz ont découvert que lors de la création d’une application dans Azure App Services et Azure Functions, l’application peut être configurée par erreur pour permettre aux utilisateurs de n’importe quel locataire Microsoft, y compris les utilisateurs publics, de se connecter à l’application.
Ce paramètre de configuration est appelé « Types de compte de support » et permet aux développeurs de spécifier si un locataire spécifique, des comptes personnels ou une combinaison de comptes multiples et personnels doit être autorisé à accéder à l’application.
Cette option de configuration est proposée pour les cas légitimes où les développeurs doivent rendre leurs applications disponibles au-delà des frontières organisationnelles.
Cependant, si un développeur attribue par erreur des autorisations plus lâches, cela pourrait entraîner un accès indésirable à l’application et à ses fonctionnalités.
« Cette architecture de responsabilité partagée n’est pas toujours claire pour les développeurs, et par conséquent, les erreurs de validation et de configuration sont assez fréquentes », commente Wiz dans son rapport.
L’ampleur du problème de mauvaise configuration est telle qu’environ 25 % des applications multi-locataires analysées par Wiz sont mal configurées, permettant un accès inconditionnel sans validation appropriée de l’utilisateur.
Dans certains cas, les applications mal configurées appartenaient à Microsoft, ce qui montre à quel point il est facile pour les administrateurs de faire des erreurs dans la configuration d’Azure AD.
Attaques BingBang et XSS
Les analystes de Wiz ont trouvé une application « Bing Trivia » mal configurée qui permettait à quiconque de se connecter à l’application et d’accéder à son CMS (Content Management System).
Cependant, ils ont rapidement découvert que l’application était directement liée à Bing.com, leur permettant de modifier le contenu en direct affiché dans les résultats de recherche Bing.
Pour vérifier qu’ils avaient un contrôle total, les chercheurs ont tenté et réussi à modifier les résultats de recherche pour le terme de recherche « meilleures bandes sonores », en ajoutant des résultats arbitraires au carrousel supérieur.
Ensuite, les analystes ont vérifié s’ils pouvaient injecter une charge utile dans les résultats de recherche Bing en utilisant ce même CMS et ont découvert qu’ils pouvaient exécuter une attaque de script intersite (XSS) sur Bing.com.
Après avoir confirmé que le XSS était possible, Wiz a rapporté ses découvertes à Microsoft et a travaillé avec la société de logiciels pour déterminer l’impact exact de cette deuxième attaque.
Un test XSS a montré qu’il était possible de compromettre le jeton Office 365 de tout utilisateur Bing qui voyait le carrousel dans les résultats de recherche, leur donnant un accès complet aux comptes des chercheurs.
Cela inclut l’accès aux e-mails Outlook, aux données de calendrier, aux messages sur Teams, aux documents SharePoint et aux fichiers OneDrive.
Le correctif de Microsoft
Microsoft a minimisé le problème, affirmant que la mauvaise configuration qui permettait aux parties externes d’accéder en lecture et en écriture n’affectait qu’un petit nombre d’applications internes et avait été corrigée immédiatement.
De plus, Microsoft affirme avoir introduit des améliorations de sécurité qui empêcheront les problèmes de mauvaise configuration d’Azure AD de redevenir un problème.
Plus particulièrement, Microsoft a cessé d’émettre des jetons d’accès aux clients non enregistrés dans les locataires de ressources, limitant l’accès uniquement aux clients correctement enregistrés.
« Cette fonctionnalité a été désactivée pour plus de 99% des applications clientes », lit-on dans l’avis de Microsoft.
« Pour le reste des applications de ressources mutualisées qui reposent sur l’accès de clients sans principal de service, nous avons fourni des instructions dans un avis de sécurité Azure Service Health aux administrateurs mondiaux (portail Azure et e-mail) et dans le centre de messagerie Microsoft 365. »
De plus, des contrôles de sécurité supplémentaires ont été ajoutés pour les applications multi-locataires, vérifiant la correspondance des ID de locataire sur une liste d’autorisation définie et la présence d’un enregistrement client (principal de service).
Il est recommandé aux développeurs et aux administrateurs qui contrôlent les applications mutualisées de consulter les conseils mis à jour de Microsoft pour les sécuriser correctement.
Pour plus de détails, Wiz a publié un rapport séparé et plus détaillé qui comprend également des conseils de remédiation.
Wiz Research a reçu une prime de bogue de 40 000 $ pour avoir divulgué de manière responsable ses découvertes à Microsoft.