Azure Rentan Terhadap Peretas, Hasil Pencarian Bing Bisa Dimanipulasi

JAKARTA - Peneliti keamanan berhasil menemukan kerentanan yang membahayakan jutaan akun Microsoft 365, berasal dari kelemahan di Azure Active Directory (AAD) yang dapat dieksploitasi untuk mengubah hasil pencarian Bing dan mengakses data pengguna.

Seorang peneliti keamanan cloud di Wiz, Hillai Ben-Sasson menguraikan bagaimana mereka dapat mengubah hasil pencarian Bing dan mengambil alih jutaan akun Office 365. Kerentanan ini dijuluki BingBang.

I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.

How did I do it? Well, it all started with a simple click in @Azure… 👀

This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) March 29, 2023

Wiz sendiri menggambarkan dirinya sebagai unicorn keamanan dunia maya terbesar di dunia juga menjelaskan temuannya di postingan blog.

Sementara itu, Ben-Sasson mengungkapkan bagaimana dia menemukan kerentanan di AAD melalui pemindaian sekitar 25 persen aplikasi multi-penyewa yang rentan terhadapnya.

Jenis aplikasi ini memungkinkan ssetiap penyewa Azure mengeluarkan token OAuth untuk mereka dan pengembang aplikasi perlu memeriksa ini untuk mengizinkan atau menolak akses.

Jika pengembang gagal menerapkan validasi akses yang tepat, setiap pengguna Azure dapat masuk ke aplikasi tersebut.

Terdapat beberapa aplikasi utama Microsoft lainnya, salah satunya adalah sistem manajemen konten (CMS) untuk Bing, yang memungkinkan penggunanya mengubah hasil pencarian Bing.

Kemudian, Wiz menjelaskan bagaimana menggunakan CMS untuk mengganti salah satu saran korsel soundtrack pemenang penghargaan Bing dengan sarannya sendiri.

Di samping memanipulasi hasil pencarian, Wiz juga dapat meluncurkan serangan XSS berdampak tinggi pada pengguna Bing.

Jika serangan seperti itu berhasil, pelaku ancaman dapat memperoleh akses ke email Outlook, dokumen SharePoint. File OneDrive, kalender Outlook, dan pesan Teams juga berisiko terekspos.

Aplikasi Microsoft rentan lainnya yang ditemukan Wiz termasuk Buletin MSN, dapat digunakan untuk mengirim email ke semua penerima, API CNS, layanan pemberitahuan internal untuk mengirim pemberitahuan ke Pengembang Microsoft.

Selain itu, API serupa untuk agen Pusat Panggilan, akses ke sistem manajemen file dengan lebih dari 4 exabyte file internal Microsoft, atau akses penuh ke blog Microsoft WordPress, seperti dikutip dari Windows Central, Jumat, 31 Maret.

Wiz merekomendasikan agar administrator menjalankan kueri untuk mengetahui apakah ada aplikasi yang dikonfigurasi untuk mengizinkan akses multi-penyewa. Admin juga dapat menjalankan perintah dari Azure CLI. Detail ditemukan di situs web Wiz tentang ini.

Sebagai informasi, peneliti keamanan di Wiz menemukan kerentanan pada Januari di platform komputasi awan Microsoft. Dan, kabar baiknya adalah Microsoft menambal semua kerentanan, dan telah berjanji untuk meningkatkan panduan pelanggan dan mengubah beberapa fungsionalitas AAD.