Falla Azure: controlla la configurazione di Azure AD

Azure Active Directory (AAD) di Microsoft offre ad amministratori e sviluppatori la possibilità di autentificazione semplice di utenti e funzioni Single Sign-On. Consente anche l’autentificazione di utenti al di fuori della propria organizzazione, un aspetto vantaggioso per applicazioni web pubbliche. L’attivazione di questa «multi tenancy» può tuttavia comportare dei rischi di sicurezza. Microsoft è ora essa stessa vittima di un simile attacco informatico, come ha riferito «heise online».Manipolando i risultati di ricerca nel motore di ricerca «Bing», un ricercatore di sicurezza è riuscito a posizionare i propri risultati in cima all’elenco combinandoli con un codice dannoso. Sarebbe stato in grado di rubare, ad esempio, cookie dʼaccesso di clienti registrati di Office365. Microsoft ha reagito rapidamente mettendo a disposizione un hotfix.Se nella vostra azienda utilizzate AAD vi consigliamo di leggere il dettagliato articolo blog dei relativi scopritori dove viene anche spiegato come mettere in sicurezza il proprio ambiente.

Ulteriori informazioni

• Azure-Lücke erlaubte Datenklau bei Millionen Office365-Kunden (heise online)
• BingBang: AAD misconfiguration led to Bing.com results manipulation and account takeover (WIZ Blog)