根据 Wiz Research 的研究报告，他们发现了 Azure Active Directory 中的一个新攻击向量，该向量暴露了错误配置的应用程序，从而使未经授权的访问者能够进入。这些错误配置在 Azure App Services 和 Azure Functions 中相当常见。

经过扫描，约有 25% 的多租户应用程序表现出易受攻击的特点。

蓝点网注：这里的多租户指的是一个网络程序同时支持多个公司使用，使用身份验证系统进行隔离；单租户指的是这个网络程序只供一家公司使用，因此不需要隔离。

此外，研究人员发现了几个影响重大的易受攻击的 Microsoft 应用程序。其中一个应用程序是支持 Bing.com 的内容管理系统（CMS），它不仅允许研究人员修改搜索结果，还允许他们对 Bing 用户发起高影响的 XSS 攻击。这些攻击可能危及用户的个人数据，包括 Outlook 电子邮件和 SharePoint 文档。

所有问题都已报告给微软安全响应中心（MSRC）团队，该团队修复了易受攻击的应用程序，更新了客户指南，并修补了部分 AAD 功能以减少客户的暴露风险。

攻击流程与影响

Wiz Research 团队通过扫描 Azure App Services 和 Azure Functions 的暴露端点，衡量了此类错误配置的普遍性。

在扫描的结果中，他们注意到了一个名为 "bingtrivia.azurewebsites.net" 的 Microsoft 应用程序，该应用程序与 Bing 搜索引擎相关联。研究人员创建了一个新用户并尝试登录 Bing Trivia，尽管他们不属于 Microsoft 租户，但仍然成功登录并进入了 Bing Trivia 主页。

在对页面进行深入研究后，他们发现这个简单的 CMS (内容管理系统) 中包含了与 Bing 核心内容相关的多个部分，包括 “Carousels” 部分，其中包含了出现在 Bing 上的搜索结果建议。

他们提出了一个问题：这个面板是否能让我们修改 Bing 的搜索结果？

为了验证这一点，研究人员选择了 CMS 中的一个轮播，并稍微修改了其内容。令人惊讶的是，他们的新结果立即出现在 Bing.com 上，包括新的标题、缩略图和任意链接。这证明了他们可以控制 Bing 的搜索结果，并且控制范围还扩展到了 Bing 的主页内容。

此外，研究人员还测试了 XSS 攻击的可行性，并使用无害负载验证了 XSS 攻击的成功执行。

随着对 XSS 攻击影响的进一步调查，研究人员发现 Bing 有一个 “Work” 部分，允许用户搜索组织目录，并意识到它是基于 Office 365 API 的。

研究人员通过这个 API 生成了一个新的 XSS 负载，并成功获取了受害者用户（这里是研究账户）的有效令牌。这个令牌使攻击者能够获取受害者的 Office 365 数据，包括 Outlook 电子邮件、日历、Teams 消息、SharePoint 文档和 OneDrive 文件。

这意味着恶意攻击者可以利用相同的负载劫持最受欢迎的搜索结果窃取数百万用户的敏感数据。据 SimilarWeb 统计，Bing 是全球第 27 大访问量最高的网站，每月页面浏览量超过十亿，也就是说，数百万用户可能会暴露于恶意搜索结果和 Office 365 数据盗窃之中。

其他易受攻击的应用程序

除了 Bing Trivia 应用程序外，研究人员还发现了若干其他内部 Microsoft 应用程序存在类似的错误配置，并对任何尝试登录的人员进行暴露：

Mag News：一个 MSN 新闻通讯的控制面板，能够以可信赖的 Microsoft 电子邮件地址向大量受众发送任意电子邮件。

CNS API：Microsoft 的中央通知服务 API，能够读取和发送内部通知给 Microsoft 开发人员。

Contact Center：Microsoft 联系中心 API，控制 Microsoft 客户代表的呼叫中心代理者。

如何检测和减轻风险

Wiz Research 团队已经将所有问题报告给了 MSRC 团队，并获得了相关问题的修复。微软修复了这些易受攻击的应用程序，更新了客户指南，并修补了一些 AAD 功能以降低客户暴露的风险。

对于受到此类错误配置影响的环境，Wiz Research 团队建议参考其博客中的 “客户补救指南” 部分，了解如何检测和减轻这些风险。