Aplikasi Microsoft yang salah konfigurasi memungkinkan siapa pun untuk masuk dan mengubah hasil pencarian Bing.com secara real-time, serta menyuntikkan serangan XSS untuk berpotensi merusak akun pengguna Office 365.
Masalah keamanan ditemukan oleh Wiz Research, yang menamakan serangan itu “BingBang.”
Analis Wiz melaporkan masalah tersebut ke Microsoft pada 31 Januari 2023, dan raksasa teknologi tersebut mengonfirmasi bahwa masalah tersebut telah diperbaiki pada 28 Maret 2023.
Salah konfigurasi
Peneliti Wiz menemukan bahwa saat membuat aplikasi di Layanan Aplikasi Azure dan Fungsi Azure, aplikasi dapat dikonfigurasi secara keliru untuk mengizinkan pengguna dari penyewa Microsoft mana pun, termasuk pengguna publik, untuk masuk ke aplikasi.
Pengaturan konfigurasi ini disebut ‘Support account types’ dan memungkinkan pengembang menentukan apakah multi-penyewa penyewa tertentu, akun pribadi, atau campuran multi akun dan pribadi harus diizinkan untuk mengakses aplikasi.
Opsi konfigurasi ini ditawarkan untuk kasus yang sah di mana pengembang harus membuat aplikasi mereka tersedia melintasi batas organisasi.
Namun, jika pengembang secara keliru memberikan izin yang lebih longgar, hal itu dapat menyebabkan akses yang tidak diinginkan ke aplikasi dan fitur-fiturnya.
“Arsitektur Tanggung Jawab Bersama ini tidak selalu jelas bagi pengembang, dan akibatnya, kesalahan validasi dan konfigurasi cukup lazim,” komentar Wiz dalam laporannya.
Begitulah besarnya masalah kesalahan konfigurasi sehingga sekitar 25% dari aplikasi multi-penyewa yang dipindai oleh Wiz salah konfigurasi, memungkinkan akses tanpa syarat tanpa validasi pengguna yang tepat.
Dalam beberapa kasus, aplikasi yang salah dikonfigurasi adalah milik Microsoft, menyoroti betapa mudahnya bagi admin untuk membuat kesalahan dalam konfigurasi Azure AD.
Serangan BingBang dan XSS
Analis Wiz menemukan aplikasi “Bing Trivia” yang salah konfigurasi yang memungkinkan siapa saja masuk ke aplikasi dan mengakses CMS (Sistem Manajemen Konten) miliknya.
Namun, mereka segera menemukan bahwa aplikasi tersebut terhubung langsung ke Bing.com, memungkinkan mereka untuk mengubah konten langsung yang ditampilkan di hasil pencarian Bing.
Untuk memverifikasi bahwa mereka memiliki kendali penuh, para peneliti mencoba dan berhasil memodifikasi hasil pencarian untuk istilah pencarian “soundtrack terbaik”, menambahkan hasil acak ke carousel teratas.
Selanjutnya, para analis memeriksa apakah mereka dapat menyuntikkan muatan ke dalam hasil pencarian Bing menggunakan CMS yang sama ini dan menemukan bahwa mereka dapat melakukan serangan skrip lintas situs (XSS) di Bing.com.
Setelah memastikan bahwa XSS memungkinkan, Wiz melaporkan temuannya ke Microsoft dan bekerja sama dengan perusahaan perangkat lunak untuk menentukan dampak pasti dari serangan kedua ini.
Tes XSS menunjukkan bahwa token Office 365 dari setiap pengguna Bing yang melihat korsel di hasil pencarian dapat dikompromikan, memberi mereka akses penuh ke akun pencari.
Ini termasuk akses ke email Outlook, data kalender, pesan di Teams, dokumen SharePoint, dan file OneDrive.
Perbaikan Microsoft
Microsoft meremehkan masalah ini, dengan mengatakan bahwa kesalahan konfigurasi yang memungkinkan akses baca dan tulis pihak eksternal hanya memengaruhi sejumlah kecil aplikasi internal dan segera diperbaiki.
Selain itu, Microsoft mengatakan telah memperkenalkan peningkatan keamanan yang akan mencegah masalah kesalahan konfigurasi Azure AD menjadi masalah lagi.
Terutama, Microsoft telah berhenti mengeluarkan token akses untuk klien yang tidak terdaftar di penyewa sumber daya, membatasi akses hanya untuk klien yang terdaftar dengan benar.
“Fungsi ini telah dinonaktifkan untuk lebih dari 99% aplikasi pelanggan,” baca penasehat Microsoft.
“Untuk sisa aplikasi sumber daya multi-tenant yang mengandalkan akses dari klien tanpa prinsipal layanan, kami telah memberikan petunjuk dalam sebuah Penasihat Keamanan Kesehatan Layanan Azure ke Admin Global (Portal Azure dan email) dan di Microsoft 365 Pusat pesan.”
Selain itu, pemeriksaan keamanan tambahan telah ditambahkan untuk aplikasi multi-penyewa, memeriksa pencocokan ID penyewa pada daftar yang diizinkan dan adanya pendaftaran klien (Prinsip Layanan).
Pengembang dan admin yang mengontrol aplikasi multi-penyewa disarankan untuk berkonsultasi Panduan terbaru Microsoft pada mengamankan mereka dengan benar.
Untuk detail tambahan, Wiz telah menerbitkan terpisah, laporan yang lebih rinci itu juga termasuk saran perbaikan.
Wiz Research menerima hadiah bug sebesar $40.000 karena mengungkapkan temuan mereka secara bertanggung jawab kepada Microsoft.
