
Une vulnérabilité critique affectait Bing
Articles du même auteur :
3
4
Une mauvaise configuration d’Azure, corrigée début 2023, fragilisait de nombreuses applications de Microsoft
La start-up israélienne en cybersécurité Wiz a récemment révélé avoir découvert, début 2023, une faille critique dans le cloud Azure. Cette vulnérabilité provenait d’une mauvaise configuration des applications sur le cloud de Microsoft, et affectait un quart d’entre elles.
La faille concernait un système d’authentification d’Azure, avec « une architecture compliquée pas toujours évidente pour les développeurs », selon Wiz. Elle avait de fortes répercussions sur le moteur de recherche Bing, mais d’autres applications populaires étaient concernées. Les chercheurs évoquent notamment une plateforme interne d’envoi de newsletters, des outils de gestion du service client ou la plateforme de publication d’un site public de Microsoft.
Prévenu, Microsoft a depuis corrigé la vulnérabilité, qui n’aurait selon la firme conduit à aucun accès non autorisé. Les conséquences auraient toutefois pu être dévastatrices. Une erreur de configuration permettait par exemple à tous les utilisateurs d’Azure d’accéder à la console d’administration de l’application Bing Trivia.
Connectés uniquement via un identifiant Azure, les chercheurs de Wiz ont donc pu modifier en direct les résultats de recherche affichés pour un utilisateur de Bing. Cette faille leur a même permis de collecter des données personnelles de cet utilisateur, incluant ses e-mails, ses calendriers, ses messages Teams ou ses documents sur OneDrive.