ガジェット

Azure AD のマルチテナントアプリ、25% が適切なアクセス制限をしていない

クラウドセキュリティ企業 Wiz の調べによると、Azure AD のマルチテナントアプリは25%が適切なアクセス制限をするよう構成されていないそうだ
(Wiz のブログ記事
MSRC Blog の記事)。

マルチテナントアプリの誤構成は Microsoft の複数のアプリでもみられ、Wiz が発見した Bing の脆弱性「BingBang」は「Bing Trivia」アプリの誤構成が原因となっている。Bing Trivia アプリには Bing 検索結果に表示されるカルーセルの内容を設定する機能が含まれており、検索結果を改変して XSS 攻撃を実行することで Office 365 ユーザーのデータにアクセス可能な JWT トークンが取得できたという。

Wiz は MSRC へ Bing の脆弱性を 1 月 31 日に報告し、MSRC は最初の修正を同日行っている。2 月 25 日には Microsoft の他のアプリの脆弱性も報告しており、3 月 20 日までにすべてのアプリで修正が完了したとのこと。Wiz Research は報奨金として 40,000 ドルを受け取ったそうだ。

管理者はAzure Portalでマルチテナントアプリの有無を確認できる。アクセスを意図しない組織外のアカウントでログインできるマルチテナントアプリは脆弱だ。この場合、アクセス可能なユーザーの制限条件付きアクセスの使用クレームベースの承認アクセストークン内のクレームの確認などが必要になる。Wiz では関連する Microsoft のドキュメントも参照することを推奨している。なお、組織外のアカウントでのアクセスが必要ない場合はマルチテナントの登録を解除してシングルテナントに戻せばいい。

すべて読む

| セキュリティセクション

| セキュリティ

| マイクロソフト

| クラウド

| バグ
|
この記事をTwitterでつぶやく
この記事をFacebookで共有
この記事をGoogle Plusで共有
このエントリーをはてなブックマークに追加

関連ストーリー:

Apple Music、プレイリストが他人のものに置き換えられるなどの問題
2023年03月24日

米政権、ソフトウェアの安全への適切な注意義務を怠った者に責任を負わせる国家サイバーセキュリティ戦略
2023年03月04日

25日に「Microsoft 365」サービスに障害発生。Azure側の障害が原因
2023年01月27日

Windows版 iCloud アプリで動画が破損するとの報告
2022年11月25日

攻撃者が多要素認証エンロールの仕組みを悪用し、多要素認証を有効にした組織のアカウントを入手する手法
2022年08月25日

ポイントを引き換えようとすると規約違反でアカウント停止になるMicrosoftのポイントプログラム
2022年06月05日

Windows 10でタスクバーの検索が機能しなくなる問題が一時的に発生
2020年02月09日

Cloudflareのバグで別のユーザーのCookieやパスワードが送信される
2017年02月26日

Bing Maps、オーストラリア・メルボルンを東北沖に表示していた
2016年08月26日

Source: スラッシュドット