Cyberthreat.id – Peneliti keamanan dari Wiz mengungkapkan bahwa kesalahan konfigurasi pada aplikasi Microsoft memungkinkan siapa pun untuk masuk dan mengubah hasil pencarian Bing.com secara real-time.

Kerentanan ini juga memungkinkan penyerang untuk menyuntikkan serangan XSS yang berpotensi merusak akun pengguna Office 365.

Dikutip dari Bleeping Computer, peneliti Wiz melaporkan masalah tersebut ke Microsoft pada 31 Januari 2023, dan raksasa teknologi tersebut mengonfirmasi bahwa masalah tersebut telah diperbaiki pada 28 Maret 2023.

Peneliti menemukan bahwa saat membuat aplikasi di Layanan Aplikasi Azure dan Fungsi Azure, aplikasi dapat dikonfigurasi secara keliru untuk mengizinkan pengguna dari penyewa Microsoft mana pun, termasuk pengguna publik, untuk masuk ke aplikasi. Pengaturan konfigurasi ini disebut 'Support account types' dan memungkinkan pengembang menentukan apakah multi-penyewa penyewa tertentu, akun pribadi, atau campuran multi akun dan pribadi harus diizinkan untuk mengakses aplikasi.

Opsi konfigurasi ini ditawarkan untuk kasus yang sah di mana pengembang harus membuat aplikasi mereka tersedia melintasi batas organisasi. Namun, jika pengembang secara keliru memberikan izin yang lebih longgar, hal itu dapat menyebabkan akses yang tidak diinginkan ke aplikasi dan fitur-fiturnya.

“Arsitektur Tanggung Jawab Bersama ini tidak selalu jelas bagi pengembang, dan akibatnya, kesalahan validasi dan konfigurasi cukup lazim,” kata Wiz dalam laporannya.

kesalahan konfigurasi membuat sekitar 25% dari aplikasi multi-penyewa yang dipindai oleh Wiz salah konfigurasi, memungkinkan akses tanpa syarat tanpa validasi pengguna yang tepat. Dalam beberapa kasus, aplikasi yang salah dikonfigurasi adalah milik Microsoft, menyoroti betapa mudahnya bagi admin untuk membuat kesalahan dalam konfigurasi Azure AD.

Tak hanya itu, peneliti Wiz menemukan aplikasi "Bing Trivia" yang salah konfigurasi yang memungkinkan siapa saja masuk ke aplikasi dan mengakses CMS (Sistem Manajemen Konten) miliknya. Kerentanan ini memungkinkan mereka untuk mengubah konten langsung yang ditampilkan di hasil pencarian Bing.

Untuk memverifikasi bahwa mereka memiliki kendali penuh, para peneliti mencoba dan berhasil memodifikasi hasil pencarian untuk istilah pencarian "soundtrack terbaik", menambahkan hasil acak ke carousel teratas. Selanjutnya, para analis memeriksa apakah mereka dapat menyuntikkan muatan ke dalam hasil pencarian Bing menggunakan CMS yang sama ini dan menemukan bahwa mereka dapat melakukan serangan skrip lintas situs (XSS) di Bing.com.

“Setelah memastikan bahwa XSS memungkinkan, Wiz melaporkan temuannya ke Microsoft dan bekerja sama dengan perusahaan perangkat lunak untuk menentukan dampak pasti dari serangan kedua ini,” kata peneliti.

Tes XSS menunjukkan bahwa token Office 365 dari setiap pengguna Bing yang melihat korsel di hasil pencarian dapat dikompromikan, memberi mereka akses penuh ke akun pencari. Ini termasuk akses ke email Outlook, data kalender, pesan di Teams, dokumen SharePoint, dan file OneDrive.

Sementara itu, Microsoft tampaknya meremehkan masalah ini, dengan mengatakan bahwa kesalahan konfigurasi yang memungkinkan akses baca dan tulis pihak eksternal hanya memengaruhi sejumlah kecil aplikasi internal dan segera diperbaiki. Selain itu, Microsoft mengatakan telah memperkenalkan peningkatan keamanan yang akan mencegah masalah kesalahan konfigurasi Azure AD menjadi masalah lagi.

“Untuk aplikasi sumber daya multi-penyewa lainnya yang bergantung pada akses dari klien tanpa prinsipal layanan, kami telah memberikan petunjuk dalam Penasihat Keamanan Kesehatan Layanan Azure untuk Admin Global (Portal Azure dan email) dan di Pusat Pesan Microsoft 365,” kata Microsoft.