Microsoftin pilvipalvelussa oli valtava haavoittuvuus – mahdollisti Bing-hakutulosten manipuloinnin ja pääsyn käyttäjien tietoihin

Microsoftin Azure-pilvipalvelusta paljastui alkuvuonna merkittävä haavoittuvuus, joka altisti sekä kalastelulle että suoranaisille tietomurroille.

Tietoturvayhtiö Wizin tutkijat havaitsivat Microsoftin Azure-pilvipalvelukokonaisuudesta tammikuussa valtavan, identiteetti- ja käyttöoikeustyökaly Azure Active Directoryyn kytkeytyvän haavoittuvuuden. Sitä ilmeni tapauksissa, joissa palveluiden omistusoikeuksia oli jaettu monien käyttäjien kesken, ja epäselvät vastuunjakoperiaatteet johtivat useiden palveluiden altistumiseen.

Esimerkiksi Microsoftin oma Bing-haku oli alttiina hakkeri-iskuille Bing Trivia -sovelluksen kautta. Tietoturvatutkijoiden onnistui kirjautua palveluun omilla Azure-tunnuksillaan ja manipuloida Bingin hakutuloksia. Täten hakukone olisi voitu valjastaa vaikkapa tietojenkalasteluun tai väärän tiedon levittämiseen, tutkijat kuvailevat.

Saman haavoittuvuuden avulla saattoi murtautua myös muiden käyttäjien Office 365 -tietoihin ja tiedostoihin. Muun muassa Outlook-sähköpostit, Teams-viestit, kalenterimerkinnät, SharePointin kautta jaetut tiedostot sekä OneDrivessä säilötty data olivat alttiina urkinnalle.

Haavoittuvuutta havainnollistaakseen tutkijat murtautuivat onnistuneesti tekaistun käyttäjän tilille ja lukivat Outlookiin tallennettuja sähköposteja.

Tietoturvafirma Wiz pitää tilannetta hälyttävänä. The Wall Street Journalille kommentoineen tutkijan mukaan haavoittuvuudesta olisi voinut hyötyä motivoitunut verkkorikollinen tai vaikka valtiollinen toimija, ja vahingot olisivat voineet nousta mittaviksi.

Microsoft on kuitenkin jo paikannut kaikki havaitut puutteet 20. maaliskuuta mennessä ja vakuuttaa tehneensä myös lisätoimia palvelunsa turvallisuuden taatakseen.

Tutkijoiden mukaan viitteitä haavoittuvuuden hyödyntämisestä ei toistaiseksi ole. Vaikuttaakin siltä, että valtavasta Azure-haavoittuvuudesta selvittiin säikähdyksellä.

I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) March 29, 2023

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla