Aplikasi Microsoft yang salah konfigurasi memungkinkan siapa pun untuk masuk dan mengubah hasil pencarian Bing.com secara real-time, serta menyuntikkan serangan XSS untuk berpotensi merusak akun pengguna Office 365.
Masalah keamanan ditemukan oleh Wiz Research, yang menamakan serangan itu “BingBang.”
Analis Wiz melaporkan masalah tersebut ke Microsoft pada 31 Januari 2023, dan raksasa teknologi tersebut mengonfirmasi bahwa masalah tersebut telah diperbaiki pada 28 Maret 2023.
Peneliti Wiz menemukan bahwa saat membuat aplikasi di Layanan Aplikasi Azure dan Fungsi Azure, aplikasi dapat dikonfigurasi secara keliru untuk mengizinkan pengguna dari penyewa Microsoft mana pun, termasuk pengguna publik, untuk masuk ke aplikasi.
Pengaturan konfigurasi ini disebut ‘Support account types’ dan memungkinkan pengembang menentukan apakah multi-penyewa penyewa tertentu, akun pribadi, atau campuran multi akun dan pribadi harus diizinkan untuk mengakses aplikasi.
Opsi konfigurasi ini ditawarkan untuk kasus yang sah di mana pengembang harus membuat aplikasi mereka tersedia melintasi batas organisasi.
Namun, jika pengembang secara keliru memberikan izin yang lebih longgar, hal itu dapat menyebabkan akses yang tidak diinginkan ke aplikasi dan fitur-fiturnya.
“Arsitektur Tanggung Jawab Bersama ini tidak selalu jelas bagi pengembang, dan akibatnya, kesalahan validasi dan konfigurasi cukup lazim,” komentar Wiz dalam laporannya.
Begitulah besarnya masalah kesalahan konfigurasi sehingga sekitar 25% dari aplikasi multi-penyewa yang dipindai oleh Wiz salah konfigurasi, memungkinkan akses tanpa syarat tanpa validasi pengguna yang tepat.
Dalam beberapa kasus, aplikasi yang salah dikonfigurasi adalah milik Microsoft, menyoroti betapa mudahnya bagi admin untuk membuat kesalahan dalam konfigurasi Azure AD.
Selengkapnya: Bleeping Computer
