Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Investigadores descubren vulnerabilidades críticas en aplicaciones de Microsoft
10 de abril de 2023 - Equipo de RRPP de TuxCare
Investigadores de seguridad de la empresa de ciberseguridad Wiz han descubierto un nuevo tipo de ataque que permite a los hackers saltarse la autenticación y hacerse con el control de cuentas de usuario en varias aplicaciones de Microsoft. La investigación reveló que la vulnerabilidad tenía su origen en Azure Active Directory, un servicio de inicio de sesión único y autenticación multifactor utilizado por organizaciones de todo el mundo.
Según la investigación, un error de configuración en Azure Active Directory condujo a una colección de problemas potencialmente graves, exponiendo al menos el 35% de las aplicaciones escaneadas a un bypass de autenticación. Entre los ejemplos más graves de esta vulnerabilidad se encuentra una interfaz de administración expuesta vinculada a Bing, que permite a cualquier usuario acceder a la interfaz y da lugar a un panel de administración funcional para el motor de búsqueda.
El equipo de investigación fue capaz de manipular los resultados del motor de búsqueda y lanzar ataques Cross-Site Scripting (XSS), lo que les permitió comprometer las credenciales de Office365 de cualquier usuario de Bing. Esto les permitió acceder a datos sensibles como información privada, correos electrónicos de Outlook, archivos de SharePoint y mensajes de Teams. Este ataque específico ha sido bautizado como "BingBang" y dada la popularidad de Bing, siendo el 27º sitio web más visitado a nivel mundial, supone un riesgo importante para los usuarios.
Los investigadores también descubrieron vulnerabilidades en otras aplicaciones como Mag News, un panel de control para boletines de MSN, PoliCheck, un verificador de palabras prohibidas, Power Automate Blog (un panel de administración de WordPress) y CNS API, un Servicio Central de Notificaciones. Los piratas informáticos pueden utilizar estas aplicaciones para enviar notificaciones internas a los desarrolladores de Microsoft o enviar correos electrónicos a un gran número de destinatarios.
Microsoft recibió la notificación de estas vulnerabilidades y tomó inmediatamente medidas para solucionarlas. En un documento de orientación, Microsoft confirmó que el problema se había solucionado y que se habían implementado comprobaciones de autorización adicionales para mitigar futuros riesgos. El problema de Bing se notificó por primera vez el 31 de enero y se solucionó el mismo día, mientras que las vulnerabilidades adicionales se notificaron el 25 de febrero y se solucionaron el 20 de marzo.
Aunque no hay pruebas sólidas de que estos fallos hayan sido explotados por piratas informáticos, es esencial ser precavido. Según Microsoft, los registros de Azure Active Directory son "insuficientes para proporcionar información sobre la actividad pasada", por lo que se recomienda a los usuarios que consulten los registros de las aplicaciones y comprueben si hay indicios de inicios de sesión dudosos.
Las fuentes de este artículo incluyen un artículo de Malwarebytes.
