Microsoft、BingとOffice 365を攻撃できる可能性のあるAzure ADの脆弱性を修正
Microsoftは、BingやOffice 365を攻撃できる可能性のあるAzure ADの脆弱性を修正した。この問題を発見し、報告したWizのアナリストは、悪用すればXSS攻撃も可能だったと解説した。
米Microsoftは3月29日(現地時間)、Azure Active Directoryを使用するマルチテナントアプリケーションの認証の構成ミスに対処したと発表した。この問題は、米Wiz Researchのアナリストが1月31日に報告したもの。
Wizによると、同社が「BingBang」と名付けたこの構成ミスを悪用すると、誰でもBing.comの検索結果をリアルタイムで変更したり、クロスサイトスクリプティング(XSS)攻撃でOffice 365のユーザーアカウントを侵害したりできた可能性があるという。Wizは、パッチが適用される前に脆弱性が悪用された証拠はないとしている。
WizはMicrosoftによる修正を確認した後、BingBangについての解説ブログを公開した。
Wizは、Azure App ServicesおよびAzure Functionsでアプリを作成する際、パブリックユーザーを含む任意のMicrosoftテナントのユーザーがアプリにログインできるように誤って構成されている可能性があることを発見した。
スキャンした結果、マルチテナントアプリの約25%が誤って構成されており、ユーザー認証なしに無条件にアクセスできるようになっていた。
さらに、誰でもアプリにログインしてCMSにアクセスできることも発見。アプリがBing.comに直接リンクされており、Bingの検索結果に表示されるライブコンテンツを変更できてしまった。
Wizは、このCMSを使ってBing.comでXSS攻撃を実行できることも確認したとしている。
Microsoftは、Azure Active Directoryの問題を防ぐためのセキュリティ強化を行ったとしている。また、リソーステナントに登録されていないクライアントへのアクセストークンの発行を停止し、アクセスを制限した。Microsoftはこの機能が「ユーザーのアプリの99%以上で無効になっている」としている。
マルチテナントアプリの開発者向けの保護方法については、Microsoftのガイダンスを参照されたい。
関連記事
- Microsoftの純正スクショツールにも情報漏えいの脆弱性 パッチ公開
MicrosoftはWindowsの純正スクリーンショットツール「切り取り領域とスケッチ」の脆弱性修正パッチを公開した。この脆弱性により、PNG形式の画像でトリミングや塗りつぶしを行った部分が復元可能となっていた。 - 「Windows Updateを至急適用して」 IPAなど呼び掛け ゼロデイ脆弱性3件を修正
JPCERT/CCと情報処理推進機構は、米Microsoftが公開した情報セキュリティ修正プログラムを早急に適用するよう呼び掛けた。悪用確認済みの脆弱性の修正が含まれる。 - ChatGPTは舎弟気質? 「高圧的な命令でマルウェア作成など悪用可能」との指摘 犯罪目的の利用に懸念
多彩さと便利さで話題に事欠かない対話型AIの「ChatGPT」だが、マルウェアの作成やフィッシング詐欺といった犯罪目的で利用される恐れもあると、米国のサイバーセキュリティ企業が警鐘を鳴らしている。 - Microsoft、クラウドサービスの設定ミスで顧客情報が公開状態に 対象は6万5000社? 同社は「誇張」と否定
米Microsoftはサーバの設定ミスが原因で、顧客との取引などに関する2.4TBものデータが公開された状態になっていたことを確認した。データには顧客の社名や電子メールアドレス、メールの内容、取引内容に関する添付ファイルなどが含まれていたという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.