米Microsoftは3月29日(現地時間)、Azure Active Directoryを使用するマルチテナントアプリケーションの認証の構成ミスに対処したと発表した。この問題は、米Wiz Researchのアナリストが1月31日に報告したもの。
Wizによると、同社が「BingBang」と名付けたこの構成ミスを悪用すると、誰でもBing.comの検索結果をリアルタイムで変更したり、クロスサイトスクリプティング(XSS)攻撃でOffice 365のユーザーアカウントを侵害したりできた可能性があるという。Wizは、パッチが適用される前に脆弱性が悪用された証拠はないとしている。
WizはMicrosoftによる修正を確認した後、BingBangについての解説ブログを公開した。
Wizは、Azure App ServicesおよびAzure Functionsでアプリを作成する際、パブリックユーザーを含む任意のMicrosoftテナントのユーザーがアプリにログインできるように誤って構成されている可能性があることを発見した。
スキャンした結果、マルチテナントアプリの約25%が誤って構成されており、ユーザー認証なしに無条件にアクセスできるようになっていた。
さらに、誰でもアプリにログインしてCMSにアクセスできることも発見。アプリがBing.comに直接リンクされており、Bingの検索結果に表示されるライブコンテンツを変更できてしまった。
Wizは、このCMSを使ってBing.comでXSS攻撃を実行できることも確認したとしている。
Microsoftは、Azure Active Directoryの問題を防ぐためのセキュリティ強化を行ったとしている。また、リソーステナントに登録されていないクライアントへのアクセストークンの発行を停止し、アクセスを制限した。Microsoftはこの機能が「ユーザーのアプリの99%以上で無効になっている」としている。
マルチテナントアプリの開発者向けの保護方法については、Microsoftのガイダンスを参照されたい。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR