Faille dans Azure: vérifiez la configuration de votre Azure AD

Azure Active Directory de Microsoft (AAD) offre aux administrateurs et aux développeurs une authentification simple des utilisateurs et des fonctions Single Sign On. Il permet également d’authentifier des utilisateurs extérieurs à l’organisation, ce qui peut être très utile pour des applications Web publiques. Toutefois, l’activation de cette «option multi-tenant» peut entraîner des risques de sécurité. Microsoft a été lui-même victime d’une telle attaque, comme le rapporte «heise online». Grâce à des résultats de recherche manipulés dans le moteur de recherche «Bing», un chercheur en sécurité a pu placer ses propres résultats en tête de liste et les doter d’un code malveillant. Il aurait alors pu, par exemple, voler les cookies d’accès de clients Office365 connectés. Microsoft a réagi rapidement et fourni un hotfix.Si vous utilisez AAD dans votre entreprise, nous vous recommandons de lire l’article de blog détaillé des découvreurs, qui explique également comment sécuriser son environnement. informatique.

Informations complémentaires

• Azure-Lücke erlaubte Datenklau bei Millionen Office365-Kunden (heise online)
• BingBang: AAD misconfiguration led to Bing.com results manipulation and account takeover (WIZ Blog)