Plus tôt dans l’année, des chercheurs en sécurité pouvaient modifier les résultats de recherche de Bing grâce à une mauvaise configuration d’Azure. Ils ont aussi eu accès à des données privées de clients à partir de Teams et d’Outlook.
Même Microsoft n’est pas immune aux erreurs de configuration dans le cloud. Les chercheurs en sécurité de Wiz ont découvert une telle erreur de configuration dans Azure et ont pu l’exploiter, avec des conséquences plutôt graves. C’est ce que rapporte The Wall Street Journal. D’une part, les chercheurs ont pu manipuler les résultats de recherche de Bing, ce qui est particulièrement gênant pour le petit nombre d’utilisateurs qui ne peuvent pas simplement changer leur moteur de recherche par défaut sur Windows. D’autre part, les testeurs ont eu accès aux applications Microsoft et aux données clients associées.
Problème AD
Le bogue remonte au mois de janvier et concerne le service Azure Active Directory. On peut y configurer une application pour qu’elle soit utilisée par plusieurs comptes, mais ce paramètre donne par défaut l’accès à tous. Le propriétaire doit personnaliser la configuration avec les droits d’accès appropriés.
Grâce à leurs propres comptes, les chercheurs ont ainsi constaté qu’ils avaient accès aux cms de Bing Trivia, où ils pouvaient modifier les résultats pour, théoriquement, diffuser des infox (« fake news ») ou mettre en place des attaques d’hameçonnage.
Accès aux e-mails
Une enquête plus détaillée a révélé que la même faille permettait d’accéder aux données de Microsoft 365 des clients de Microsoft. Ces données étaient incontestablement très sensibles, comme les courriels dans Outlook, les calendriers, les messages d’équipe et les documents SharePoint. Les experts de Wiz ont montré comment ils ont pu lire dans la boîte de réception d’une victime simulée. La mauvaise configuration en question s’est avérée omniprésente dans l’écosystème Microsoft.
La vulnérabilité de Bing a été communiquée à Microsoft le 31 janvier. Ce problème a été corrigé le 2 février. Le 25 février, Wiz a partagé le bogue suivant qui permettait d’accéder à Microsoft 265, et il a fallu attendre le 20 mars pour que les failles soient colmatées. Microsoft indique qu’elle a également revu ses propres processus internes afin d’éviter que des problèmes similaires ne se reproduisent à l’avenir.
Non exploité
La vulnérabilité, baptisée BingBang par Wiz, a été découverte et corrigée à temps, sans que les pirates n’aient la possibilité de l’exploiter. Les données des clients n’étaient donc accessibles au public qu’en théorie, sans conséquences pratiques.