No início deste ano, uma falha de segurança significativa foi encontrada no mecanismo de busca da Microsoft, o Bing. Esta vulnerabilidade permitia que os usuários mudassem os resultados de pesquisa e obtivessem informações confidenciais de outros usuários que usavam os serviços Bing, such as Teams, Outlook e Office 365. Em janeiro, uma equipe de pesquisadores da Wiz constatou que uma configuração incorreta no Azure — a plataforma de computação em nuvem da Microsoft — permitia acesso não autorizado aos aplicativos do Bing.
Uma vulnerabilidade foi descoberta no serviço de gerenciamento de identidade e acesso do Azure Active Directory (AAD). Os aplicativos que usam as permissões multi-tenant da plataforma são acessíveis por qualquer usuário do Azure, o que significa que os desenvolvedores precisam certificar-se de que somente usuários qualificados podem acessar seus aplicativos. Esta tarefa nem sempre é fácil de entender, o que torna a configuração incorreta uma ocorrência comum – Wiz afirma que 25% de todos os aplicativos multi-tenant que ela examinou não têm a devida validação.
Os investigadores puderam acessar o Bing Trivia usando suas credenciais da Azure. Por meio do sistema de gerenciamento de conteúdo (CMS) eles puderam influenciar os resultados de busca no Bing.com. De acordo com Wiz, qualquer pessoa que usasse a página de aplicativos do Bing Trivia poderia alterar os resultados do buscador Bing, com o intuito de divulgar informações falsas e praticar o phishing.
Uma pesquisa sobre a seção de trabalho do Bing também mostrou que a exploração pode ser empregada para aceder aos dados de outros usuários do Office 365, mostrando e-mails do Outlook, calendários, mensagens de equipes, documentos do SharePoint e arquivos do OneDrive. O Wiz conseguiu demonstrar que usou com sucesso a falha para olhar mensagens de uma caixa de correio de um alvo simulado. Mais de mil aplicativos e páginas na nuvem da Microsoft foram descobertos com falhas de configuração semelhantes, incluindo Mag News, Contact Center, PoliCheck, Power Automate Blog e Cosmos.
Ami Luttwak, Diretor de Tecnologia da Wiz, advertiu ao The Wall Street Journal que um possível agressor tinha a capacidade de alterar os resultados da busca do Bing, assim como acessar e-mails e dados de milhões de usuários da Microsoft. Luttwak sugeriu que isso tivesse sido realizado por um Estado-nação para influenciar a opinião pública ou por um hacker que tinha como objetivo obter lucros financeiros.
O problema foi resolvido em 2 de fevereiro, justo antes da Microsoft apresentar a nova função de Chat controlada por Inteligência Artificial do Bing.
O Centro de Resposta de Segurança da Microsoft foi informado da fragilidade do Bing em 31 de janeiro. A Microsoft sanou o problema no dia 2 de fevereiro, de acordo com Luttwak, noticiado por The Wall Street Journal. O Wiz logo destacou os outros programas vulneráveis em 25 de fevereiro e a Microsoft declarou que todos os problemas foram corrigidos em 20 de março. Ademais, a Microsoft também disse que adotou medidas extras para restringir o perigo de possíveis configurações errôneas no futuro.
O Bing tem tido um aumento significativo na popularidade no último período, ultrapassando a marca de 100 milhões de usuários diários logo depois da implementação de sua tecnologia de chat alimentada por Inteligência Artificial, no dia 7 de fevereiro. Se o problema na segurança não tivesse sido corrigido previamente, o crescimento rápido do Bing poderia ter exposto milhões de usuários a uma vulnerabilidade – de acordo com a Similarweb, o Bing é o 30º site mais acessado do mundo.
No outono de 2020, um bug no Microsoft Azure causou a exposição dos dados de 150.000 companhias em 123 países. Esta vulnerabilidade na infraestrutura da Microsoft foi descoberta na mesma semana em que a Microsoft estava procurando promover sua nova solução de segurança cibernética, o Microsoft Security Copilot.
Wiz disse que não existem provas de que a brecha tenha sido explorada antes de ser reparada. Ainda assim, os logs do Azure Active Directory não vão oferecer informações sobre atividades anteriores, e Wiz diz que o problema pode ter sido vulnerável por anos. Por isso, a Wiz recomenda que as empresas que usam aplicativos do Azure Active Directory chequem seus registros de aplicativos para qualquer acesso suspeito que revele uma violação de segurança.
