Microsoft Azureは、Office 365製品を利用するために利用できるクラウドサービスです。ただし、インターフェイスは内部プロセスや変更にも使用されます。ただし、この二重使用は、第三者が舞台裏で簡単にアクセスできる場合に問題を引き起こす可能性もあります。セキュリティ研究者のチームはこれを実行することに成功しました。彼らはこの「ハッキング」がいかに驚くほど簡単だったかを説明しています。
Microsoft: Azure のデュアルユースには落とし穴がある
Wiz のセキュリティ研究者は、脆弱なマルチテナント アプリケーションに注意を払うことにしました。彼らは Microsoft Azure に目を付けました。さまざまなアプリケーションをクラウド経由で簡単・安全に利用できるクラウドサービスです。ただし、ここには落とし穴があります。正しい Web アドレスと単純な Azure アカウントがあれば、Microsoft の内部システムやデータベースにもログインできるようです。
研究者らは調査中に、Web アドレス bingtrivia.azurewebsites.net にすぐに気づきました。恐ろしい詳細: サードパーティは、別のアカウントまたは認証なしではここにログインできないはずです。ただし、研究者らは自分のログイン詳細を使用して、これを何のハードルもなく行うことができました。
このアドレスの背後にあったのは、Microsoft 独自の検索エンジンである Bing のコンテンツ管理システム (CMS) でした。わずか数回クリックするだけで、研究者たちはサイバー犯罪者にとっての聖杯を発見しました。 CMS を介して変更できるのは検索結果だけではありません。研究者らは、悪意のあるコードを含む Web サイトを Bing 検索の上位に簡単に配置することもできたでしょう。適切なソフトウェアを使用すれば、ログイン データなどにアクセスできた可能性があります。
- 続きを読む: プライベート クラウドとは何ですか?定義と例
月間 10 億件の検索を実現する Bing
Bing のユーザー数は Google に比べて少ないにもかかわらず、それでも月間 10 億件の検索クエリがあります。したがって、研究者らはセキュリティギャップの重要性に注意を喚起し、「同じアクセス権を持つ悪意のある攻撃者が、同じペイロードで最も人気のある検索結果を乗っ取り、何百万ものユーザーからの機密データを漏洩した可能性がある」と述べています。
彼ら自身が結果に (無害な) コードを挿入し、理論的には Microsoft 365 アカウントからユーザー データを盗むことができました。ドキュメント全体、電子メール リストなどが含まれます。しかし、Wiz の専門家は変更を元に戻し、その結果を Microsoft と共有しました。この脆弱性は記録的な速さで修正されたため、社内の Azure クラウドは不正アクセスから安全になりました。
出典: ウィズ