MicrosoftのBingは、Bingチャットの登場により、かつてない程の注目を浴びている。しかし、チャットボットの公開に先立ち、Wizのセキュリティ研究者が、MicrosoftのクラウドコンピューティングプラットフォームであるAzureの設定ミスを発見し、Bingを侵害し、Azureユーザーなら誰でも認証なしにアプリケーションにアクセスできるようになる脆弱性を報告している。
WizのHillai Ben-Sasson氏は今週、The Wall Street Journalが報じたように、チームの調査結果をTwitterスレッドに投稿した。発端は1月、Wizが「Azureの奇妙な構成」を発見したことだった。この脆弱性は、Azure Active Directory(AAD)のIDおよびアクセス管理サービスで検出された。Ben-Sasson氏はこの設定を悪用して、MicrosoftのBing Trivia機能に入り込むことが出来たという。そして、彼はすぐに、この機能を使ってBingの検索結果に実際に変更を加えることができることを知った。
この欠陥により、Wizは「ログインしているすべてのユーザーに対してOfficeトークンを発行」することも出来た。 つまり、ハッカーはこの悪用を利用して、OutlookのメールやTeamsのチャットなど、Bingユーザーから個人情報を入手できたのだ。Wizの最高技術責任者であるAmi Luttwak氏がThe Wall Street Journalに語ったように、「世論に影響を与えようとする国家や、金銭的な動機のあるハッカーだった可能性があります」とのことだ。
良いニュースは、MicrosoftがAzureとBingでWizが報告した問題を現在修正していることだ。この問題に関する自身のブログ記事で、次のように述べている:
Azure ADがアップデートされ、リソーステナントに登録されていないクライアントへのアクセストークンの発行が停止されました。これにより、アプリケーションが認証チェックを正しく処理しない場合でも、本問題の発生を防ぐことができます。
Wizは、パッチが適用される前に脆弱性が悪用されていたという証拠はないと述べています。とはいえ、Azure Active Directoryのログが以前の活動に関する詳細を提供するとは限らず、Wizは、この問題が何年も前から悪用されていた可能性があると主張している。Wizは、Azure Active Directoryアプリケーションを使用している組織は、セキュリティ侵害を示す疑わしいログインがないか、アプリケーションログを確認することを推奨している。
また、Ben-SassonはTwitterで、Microsoftが欠陥を発見し報告したことでWizに4万ドルの報奨金を与えたと述べている。
Source
- Microsoft: Guidance on Potential Misconfiguration of Authorization of Multi-Tenant Applications that use Azure AD
- Wiz: BingBang: AAD misconfiguration led to Bing.com results manipulation and account takeover
- The Wall Street Journal: Microsoft Patched Bing Vulnerability That Allowed Snooping on Email and Other Data
- via The Verge: Huge Microsoft exploit allowed users to manipulate Bing search results and access Outlook email accounts
