ClickCease Des chercheurs découvrent des vulnérabilités critiques dans les applications Microsoft

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Des chercheurs découvrent des vulnérabilités critiques dans les applications Microsoft

Le 10 avril 2023 - L'équipe de relations publiques de TuxCare

Des chercheurs en sécurité de la société de cybersécurité Wiz ont découvert un nouveau type d'attaque qui permet aux pirates de contourner l'authentification et de prendre le contrôle de comptes d'utilisateurs dans diverses applications Microsoft. La recherche a révélé que la vulnérabilité était ancrée dans Azure Active Directory, un service d'authentification unique et d'authentification multifactorielle utilisé par des organisations du monde entier.

Selon l'étude, une mauvaise configuration dans Azure Active Directory a entraîné une série de problèmes potentiellement graves, exposant au moins 35 % des applications analysées à un contournement de l'authentification. Parmi les exemples les plus graves de cette vulnérabilité figure une interface d'administration exposée liée à Bing, permettant à n'importe quel utilisateur d'accéder à l'interface et aboutissant à un panneau d'administration fonctionnel pour le moteur de recherche.

L'équipe de recherche a pu manipuler les résultats des moteurs de recherche et lancer des attaques de type Cross-Site Scripting (XSS), ce qui lui a permis de compromettre les identifiants Office365 de n'importe quel utilisateur de Bing. Ils ont ainsi pu accéder à des données sensibles telles que des données privées, des courriels Outlook, des fichiers SharePoint et des messages Teams. Cette attaque spécifique a été baptisée "BingBang" et, compte tenu de la popularité de Bing, qui est le 27e site web le plus visité au monde, elle présente un risque important pour les utilisateurs.

Les chercheurs ont également découvert des vulnérabilités dans d'autres applications telles que Mag News, un panneau de contrôle pour les bulletins d'information MSN, PoliCheck, un vérificateur de mots interdits, Power Automate Blog (un panneau d'administration WordPress) et CNS API, un service central de notification. Les pirates peuvent utiliser ces applications pour envoyer des notifications internes aux développeurs de Microsoft ou envoyer des courriels à un grand nombre de destinataires.

Microsoft a été informée de ces vulnérabilités et a immédiatement pris des mesures pour y remédier. Dans un document d'orientation, Microsoft a confirmé que le problème avait été résolu et que des contrôles d'autorisation supplémentaires avaient été mis en œuvre pour limiter les risques futurs. Le problème concernant Bing a été signalé pour la première fois le 31 janvier et corrigé le même jour, tandis que les autres vulnérabilités ont été signalées le 25 février et corrigées le 20 mars.

Bien qu'il n'existe aucune preuve solide de l'exploitation de ces failles par des pirates, il est essentiel d'être prudent. Selon Microsoft, les journaux d'Azure Active Directory sont "insuffisants pour fournir des informations sur les activités passées". Il est donc conseillé aux utilisateurs de consulter les journaux d'application et de vérifier s'il existe des preuves de connexions douteuses.

 

Les sources de cet article comprennent un article de Malwarebytes.

Résumé
Des chercheurs découvrent des vulnérabilités critiques dans les applications Microsoft
Nom de l'article
Des chercheurs découvrent des vulnérabilités critiques dans les applications Microsoft
Description
Des chercheurs de la société de cybersécurité Wiz ont découvert un nouveau type d'attaque qui permet aux pirates de contourner l'authentification.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information