Microsoft schließt Azure AD-Sicherheitslücke

Microsoft hat eine fehlerhafte Konfiguration des Identitäts- und Zugriffsverwaltungsdienstes Azure Active Directory (AAD) gepatcht, durch die mehrere "wichtige" Anwendungen unberechtigtem Zugriff ausgeliefert waren.

Eine dieser Anwendungen ist ein Content Management System (CMS), das Bing.com betreibt und es uns nicht nur ermöglichte, Suchergebnisse zu verändern, sondern auch hochwirksame XSS-Angriffe auf Bing-Nutzer zu starten. Diese Angriffe könnten die persönlichen Daten der Nutzer gefährden, einschließlich Outlook-E-Mails und SharePoint-Dokumente.

Die Probleme wurden Microsoft im Januar und Februar 2022 gemeldet, woraufhin der Technologiekonzern Fixes bereitstellte und Wiz ein Bug Bounty in Höhe von 40.000 Dollar gewährte. Microsoft hat nach eigenen Angaben keine Hinweise darauf gefunden, dass die fehlerhaften Konfigurationen in der Praxis ausgenutzt wurden.

Der Kern der Sicherheitslücke liegt in der so genannten "Shared Responsibility confusion", bei der eine Azure-App fälschlicherweise so konfiguriert werden kann, dass sie Benutzern aus beliebigen Microsoft-Mandaten Zugriff gewährt, was zu einem möglichen Fall von ungewolltem Zugriff führt.

Es wurde festgestellt, dass eine Reihe von Microsoft-internen Anwendungen dieses Problem aufweisen, so dass Dritte Lese- und Schreibzugriff auf die betroffenen Anwendungen erhalten können.

Zu allem Überfluss kann die Sicherheitslücke dazu genutzt werden, einen Cross-Site-Scripting (XSS)-Angriff auf Bing.com auszulösen und die Kalender, Outlook-E-Mails, SharePoint-Dokumente, Teams-Nachrichten und OneDrive-Dateien eines Benutzers auszulesen.