Microsoft a corrigé un problème de mauvaise configuration affectant le service de gestion des identités et des accès Azure Active Directory (AAD) qui permettait un accès non autorisé à un certain nombre d'applications à fort impact.

"L'une de ces applications est un système de gestion de contenu (CMS) qui alimente Bing.com et nous a permis non seulement de modifier les résultats de recherche, mais aussi de lancer des attaques XSS à fort impact sur les utilisateurs de Bing", a déclaré l'entreprise de sécurité du cloud Wiz dans un rapport. "Ces attaques pourraient compromettre les données personnelles des utilisateurs, y compris les courriels Outlook et les documents SharePoint."

Cette vulnérabilité découle de ce que l'on appelle la "confusion de la responsabilité partagée", dans laquelle une application Azure peut-être incorrectement configurée pour autoriser les utilisateurs de n'importe quel locataire de Microsoft, ce qui entraîne un cas potentiel d'accès involontaire.

Il est intéressant de noter qu'un certain nombre d'applications internes de Microsoft présentent ce comportement, permettant ainsi à des parties externes d'obtenir des droits de lecture et d'écriture sur les applications concernées.

Cela inclut l'application Bing Trivia, que l'entreprise de cybersécurité a exploitée dans le cadre d'une chaîne d'attaque nommée BingBang pour modifier les résultats de recherche dans Bing et même éditer du matériel sur la page d'accueil.

Pire encore, la faille peut être utilisée pour récupérer les courriels Outlook, les calendriers, les chats Teams, les documents SharePoint et les fichiers OneDrive d'une victime en lançant une attaque XSS contre Bing.com.

Parmi les autres applications susceptibles d'être affectées par ce problème de mauvaise configuration figurent Mag News, Central Notification Service (CNS), Contact Center, PoliCheck, Power Automate Blog et COSMOS.

Ce développement intervient alors que la société de tests de pénétration NetSPI a révélé les détails d'une vulnérabilité entre locataires dans les connecteurs de Power Platform, qui pourrait être utilisée pour accéder à des données sensibles.

Après une divulgation responsable en septembre 2022, la vulnérabilité de désérialisation a été résolue par Microsoft en décembre 2022.

La recherche suit également la publication de correctifs pour remédier à Super FabriXss (CVE-2023-23383, CVSS score : 8.2), une vulnérabilité XSS reflétée dans Azure Service Fabric Explorer (SFX) qui pourrait conduire à l'exécution de code à distance non authentifié.