Groot lek in Bing maakte zoekresultaten en mailboxen kwetsbaar
De beveiligingsonderzoekers ontdekten eerder dit jaar de foutieve configuratie in de cloudservers van Microsoft Azure. Dat schrijft The Wall Street Journal. Het issue beperkte zich niet tot het kunnen bewerken van zoekresultaten: de researchers kregen ook toegang tot mailboxen en private klantgegevens in Outlook en Teams. Opvallend is dat de technici zomaar de zoekresultaten in Bing konden manipuleren.
Bing kwetsbaar door Azure
De misconfiguratie gebeurde in de Azure Active Directory. Dat deel van het cloudplatform wordt gebruik om apps te configureren waarop meerdere accounts kunnen inloggen. Als de eigenaar geen toegangsrechten configureert, heeft zomaar iedereen standaard toegang. De researchers kwamen erachter dat ze via zulke accounts dus toegang hadden tot het Bing Trivia-CMS, waar ze de zoekresultaten konden aanpassen. Ze hadden in theorie dus fake news kunnen verspreiden of aan phishing kunnen doen.
Mailboxen en Teamsberichten gelezen
Ook weinig geruststellend is dat de researchers door diezelfde fout ook in Microsoft 365-accounts konden duiken. Ze raadpleegden er allerlei gevoelige informatie: van mailboxen en Outlook-agenda’s, tot chatberichten in Teams en SharePoint-documenten. De misconfiguratie in Azure had dus verstrekkende gevolgen op alle Microsoft-platformen die in de cloud werken.
De onderzoekers maakte hun bevindingen op 31 januari over aan Microsoft, dat het probleem enkele dagen later (2 februari) kon verhelpen, maar pas op 20 maart werden alle potentiële lekken in de Azure-cloud gedicht. Gelukkig voor Microsoft en zijn gebruikers lijkt het erop dat cybercriminelen geen gebruik hebben gemaakt van de kwetsbaarheid. De softwaregigant heeft laten weten dat het de nodige maatregelen heeft getroffen om zulke veiligheidsrisico’s voortaan te vermijden.