Een misconfiguratie van een applicatie van Microsofts Bing.com maakte het mogelijk om zoekresultaten van de zoekmachine aan te passen of kwaadaardige code toe te voegen waarmee de Office 365-tokens van gebruikers waren te stelen, om zo toegang tot privé e-mails en bestanden te krijgen. Dat laat Wiz Research weten, dat het probleem ontdekte en aan Microsoft rapporteerde, dat maatregelen nam en ontwikkelaars oproept om toegang tot hun applicaties goed te configureren.

De kwetsbaarheid lag in een verkeerd geconfigureerde Azure Active Directory (AAD), waardoor het mogelijk was om toegang tot verschillende applicaties van Microsoft te krijgen, waaronder het contentmanagementsysteem (cms) van Bing.com. AAD is een cloudgebaseerde identity and access management service waarmee kan worden ingelogd op apps die in Azure App Services of Azure Functions zijn gemaakt. Het gaat hierbij niet alleen om apps die Microsoft zelf heeft ontwikkeld, maar ook de apps van andere organisaties.

Azure Active Directory biedt verschillende soorten accounttoegang, waaronder multi-tenant. Hierbij kan elke gebruiker die onderdeel van een Azure tenant is op de betreffende app inloggen. In deze situatie is het belangrijk dat de ontwikkelaar van de app de juiste toegang configureert, omdat anders elke willekeurige Azure-gebruiker op de app kan inloggen.

De onderzoekers van Wiz ontdekten tal van multi-tenant apps waar deze toegang niet goed was geconfigureerd. Het ging onder andere om een door Microsoft ontwikkelde applicatie genaamd "Bing Trivia". Door de misconfiguratie konden de onderzoekers met hun eigen Azure-gebruiker op de app inloggen. Vervolgens vonden ze het cms dat voor Bing.com wordt gebruikt. Via dit cms was het mogelijk om de zoekresultaten van Microsofts zoekmachine aan te passen.

Daarnaast bleek het mogelijk om malafide code aan de zoekmachine toe te voegen die de Office 365-tokens van gebruikers kan stelen. Met deze tokens is het vervolgens mogelijk om toegang tot e-mails van Outlook.com te krijgen, alsmede kalenders, Teams-berichten, SharePoint-documenten en OneDrive-bestanden. Bing en Office 365 zijn namelijk geïntegreerd. Zo heeft Bing een onderdeel dat gebruikers hun Office 365-data laat doorzoeken. Hiervoor communiceert Bing namens de ingelogde gebruiker met Office 365. Via deze feature bleek het mogelijk om, door het toevoegen van cross-site scripting (XSS) code op Bing.com, het Office 365-token te stelen.

Microsoft stelt dat de misconfiguratie een "klein aantal" van de eigen, interne apps raakte. De problemen zijn volgens het techbedrijf verholpen en er is geen misbruik van gemaakt, aldus een uitleg. Verder roept Microsoft beheerders en applicatieontwikkelaars van andere organisaties op om de instellingen van hun multi-tenant applicaties die van Azure Active Directory gebruikmaken te controleren.