ClickCease Investigadores descubren vulnerabilidades críticas en aplicaciones de Microsoft

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Investigadores descubren vulnerabilidades críticas en aplicaciones de Microsoft

por

10 de abril de 2023 - Equipo de RRPP de TuxCare

Investigadores de seguridad de la empresa de ciberseguridad Wiz han descubierto un nuevo tipo de ataque que permite a los hackers saltarse la autenticación y hacerse con el control de cuentas de usuario en varias aplicaciones de Microsoft. La investigación reveló que la vulnerabilidad tenía su origen en Azure Active Directory, un servicio de inicio de sesión único y autenticación multifactor utilizado por organizaciones de todo el mundo.

Según la investigación, un error de configuración en Azure Active Directory condujo a una colección de problemas potencialmente graves, exponiendo al menos el 35% de las aplicaciones escaneadas a un bypass de autenticación. Entre los ejemplos más graves de esta vulnerabilidad se encuentra una interfaz de administración expuesta vinculada a Bing, que permite a cualquier usuario acceder a la interfaz y da lugar a un panel de administración funcional para el motor de búsqueda.

El equipo de investigación fue capaz de manipular los resultados del motor de búsqueda y lanzar ataques Cross-Site Scripting (XSS), lo que les permitió comprometer las credenciales de Office365 de cualquier usuario de Bing. Esto les permitió acceder a datos sensibles como información privada, correos electrónicos de Outlook, archivos de SharePoint y mensajes de Teams. Este ataque específico ha sido bautizado como "BingBang" y dada la popularidad de Bing, siendo el 27º sitio web más visitado a nivel mundial, supone un riesgo importante para los usuarios.

Los investigadores también descubrieron vulnerabilidades en otras aplicaciones como Mag News, un panel de control para boletines de MSN, PoliCheck, un verificador de palabras prohibidas, Power Automate Blog (un panel de administración de WordPress) y CNS API, un Servicio Central de Notificaciones. Los piratas informáticos pueden utilizar estas aplicaciones para enviar notificaciones internas a los desarrolladores de Microsoft o enviar correos electrónicos a un gran número de destinatarios.

Microsoft recibió la notificación de estas vulnerabilidades y tomó inmediatamente medidas para solucionarlas. En un documento de orientación, Microsoft confirmó que el problema se había solucionado y que se habían implementado comprobaciones de autorización adicionales para mitigar futuros riesgos. El problema de Bing se notificó por primera vez el 31 de enero y se solucionó el mismo día, mientras que las vulnerabilidades adicionales se notificaron el 25 de febrero y se solucionaron el 20 de marzo.

Aunque no hay pruebas sólidas de que estos fallos hayan sido explotados por piratas informáticos, es esencial ser precavido. Según Microsoft, los registros de Azure Active Directory son "insuficientes para proporcionar información sobre la actividad pasada", por lo que se recomienda a los usuarios que consulten los registros de las aplicaciones y comprueben si hay indicios de inicios de sesión dudosos.

 

Las fuentes de este artículo incluyen un artículo de Malwarebytes.

Resumen
Investigadores descubren vulnerabilidades críticas en aplicaciones de Microsoft
Nombre del artículo
Investigadores descubren vulnerabilidades críticas en aplicaciones de Microsoft
Descripción
Investigadores de seguridad de la empresa de ciberseguridad Wiz han descubierto un nuevo tipo de ataque que permite a los hackers saltarse la autenticación.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín