根據(jù) Wiz Research 的研究報(bào)告，他們發(fā)現(xiàn)了 云服務(wù) 中的一個(gè)新攻擊向量，該向量暴露了錯(cuò)誤配置的應(yīng)用程序，從而使未經(jīng)授權(quán)的訪問者能夠進(jìn)入。這些錯(cuò)誤在 云Services 和 Azure Functions 中相當(dāng)常見。

經(jīng)過掃描，約有 25% 的多租戶應(yīng)用程序表現(xiàn)出易受攻擊的特點(diǎn)。

藍(lán)點(diǎn)網(wǎng)注：這里的多租戶指的是一個(gè)網(wǎng)絡(luò)程序同時(shí)支持多個(gè)公司使用，使用身份驗(yàn)證系統(tǒng)進(jìn)行隔離。

此外，研究人員發(fā)現(xiàn)了幾個(gè)影響重大的易受攻擊的 Microsoft 應(yīng)用程序。其中一個(gè)應(yīng)用程序是支持 Bing.com 的內(nèi)容管理系統(tǒng)（CMS），它不僅允許研究人員修改搜索結(jié)果，還允許他們對 Bing 用戶發(fā)起高影響的 XSS 攻擊。這些攻擊可能危及用戶的個(gè)人數(shù)據(jù)，包括 Outlook 電子郵件和 SharePoint 文檔。

所有問題都已報(bào)告給微軟安全響應(yīng)中心（MSRC）團(tuán)隊(duì)，該團(tuán)隊(duì)修復(fù)了易受攻擊的應(yīng)用程序，更新了客戶指南，并修補(bǔ)了部分 AAD 功能以減少客戶的暴露風(fēng)險(xiǎn)。

攻擊流程與影響

Wiz Research 團(tuán)隊(duì)通過掃描 Azure App Services 和 Azure Functions 的暴露端點(diǎn)，衡量了此類錯(cuò)誤配置的普遍性。

在掃描的結(jié)果中，他們注意到了一個(gè)名為 "bingtrivia.azurewebsites.net" 的 Microsoft 應(yīng)用程序，該應(yīng)用程序與 Bing 搜索引擎相關(guān)聯(lián)。研究人員創(chuàng)建了一個(gè)新用戶并嘗試登錄 Bing Trivia，盡管他們不屬于 Microsoft 租戶，但仍然成功登錄并進(jìn)入了 Bing Trivia 主頁。

在對頁面進(jìn)行深入研究后，他們發(fā)現(xiàn)這個(gè)簡單的 CMS (內(nèi)容管理系統(tǒng)) 中包含了與 Bing 核心內(nèi)容相關(guān)的多個(gè)部分，包括 “Carousels” 部分，其中包含了出現(xiàn)在 Bing 上的搜索結(jié)果建議。

他們提出了一個(gè)問題：這個(gè)面板是否能讓我們修改 Bing 的搜索結(jié)果？

為了驗(yàn)證這一點(diǎn)，研究人員選擇了 CMS 中的一個(gè)輪播，并稍微修改了其內(nèi)容。令人驚訝的是，他們的新結(jié)果立即出現(xiàn)在 Bing.com 上，包括新的標(biāo)題、縮略圖和任意鏈接。這證明了他們可以控制 Bing 的搜索結(jié)果，并且控制范圍還擴(kuò)展到了 Bing 的主頁內(nèi)容。

此外，研究人員還測試了 XSS 攻擊的可行性，并使用無害負(fù)載驗(yàn)證了 XSS 攻擊的成功執(zhí)行。

隨著對 XSS 攻擊影響的進(jìn)一步調(diào)查，研究人員發(fā)現(xiàn) Bing 有一個(gè) “Work” 部分，允許用戶搜索組織目錄，并意識到它是基于 Office 365 API 的。

研究人員通過這個(gè) API 生成了一個(gè)新的 XSS 負(fù)載，并成功獲取了受害者用戶（這里是研究賬戶）的有效令牌。這個(gè)令牌使攻擊者能夠獲取受害者的 Office 365 數(shù)據(jù)，包括 Outlook 電子郵件、日歷、Teams 消息、SharePoint 文檔和 OneDrive 文件。

這意味著惡意攻擊者可以利用相同的負(fù)載劫持最受歡迎的搜索結(jié)果竊取數(shù)百萬用戶的敏感數(shù)據(jù)。據(jù) SimilarWeb 統(tǒng)計(jì)，Bing 是全球第 27 大訪問量最高的網(wǎng)站，每月頁面瀏覽量超過十億，也就是說，數(shù)百萬用戶可能會(huì)暴露于惡意搜索結(jié)果和 Office 365 數(shù)據(jù)盜竊之中。

其他易受攻擊的應(yīng)用程序

除了 Bing Trivia 應(yīng)用程序外，研究人員還發(fā)現(xiàn)了若干其他內(nèi)部 Microsoft 應(yīng)用程序存在類似的錯(cuò)誤配置，并對任何嘗試登錄的人員進(jìn)行暴露：

Mag News：一個(gè) MSN 新聞通訊的控制面板，能夠以可信賴的 Microsoft 電子郵件地址向大量受眾發(fā)送任意電子郵件。

CNS API：Microsoft 的中央通知服務(wù) API，能夠讀取和發(fā)送內(nèi)部通知給 Microsoft 開發(fā)人員。

Contact Center：Microsoft 聯(lián)系中心 API，控制 Microsoft 客戶代表的呼叫中心代理者。

如何檢測和減輕風(fēng)險(xiǎn)

Wiz Research 團(tuán)隊(duì)已經(jīng)將所有問題報(bào)告給了 MSRC 團(tuán)隊(duì)，并獲得了相關(guān)問題的修復(fù)。微軟修復(fù)了這些易受攻擊的應(yīng)用程序，更新了客戶指南，并修補(bǔ)了一些 AAD 功能以降低客戶暴露的風(fēng)險(xiǎn)。

對于受到此類錯(cuò)誤配置影響的環(huán)境，Wiz Research 團(tuán)隊(duì)建議參考其博客中的 “客戶補(bǔ)救指南” 部分，了解如何檢測和減輕這些風(fēng)險(xiǎn)。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 來源 藍(lán)點(diǎn)網(wǎng)