クラウドセキュリティ企業 Wiz の調べによると、Azure AD のマルチテナントアプリは25%が適切なアクセス制限をするよう構成されていないそうだ (Wiz のブログ記事、 MSRC Blog の記事)。

マルチテナントアプリの誤構成は Microsoft の複数のアプリでもみられ、Wiz が発見した Bing の脆弱性「BingBang」は「Bing Trivia」アプリの誤構成が原因となっている。Bing Trivia アプリには Bing 検索結果に表示されるカルーセルの内容を設定する機能が含まれており、検索結果を改変して XSS 攻撃を実行することで Office 365 ユーザーのデータにアクセス可能な JWT トークンが取得できたという。

Wiz は MSRC へ Bing の脆弱性を 1 月 31 日に報告し、MSRC は最初の修正を同日行っている。2 月 25 日には Microsoft の他のアプリの脆弱性も報告しており、3 月 20 日までにすべてのアプリで修正が完了したとのこと。Wiz Research は報奨金として 40,000 ドルを受け取ったそうだ。

管理者はAzure Portalでマルチテナントアプリの有無を確認できる。アクセスを意図しない組織外のアカウントでログインできるマルチテナントアプリは脆弱だ。この場合、アクセス可能なユーザーの制限や条件付きアクセスの使用、クレームベースの承認、アクセストークン内のクレームの確認などが必要になる。Wiz では関連する Microsoft のドキュメントも参照することを推奨している。なお、組織外のアカウントでのアクセスが必要ない場合はマルチテナントの登録を解除してシングルテナントに戻せばいい。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | クラウド | バグ |

関連ストーリー：
Apple Music、プレイリストが他人のものに置き換えられるなどの問題 2023年03月24日
米政権、ソフトウェアの安全への適切な注意義務を怠った者に責任を負わせる国家サイバーセキュリティ戦略 2023年03月04日
25日に「Microsoft 365」サービスに障害発生。Azure側の障害が原因 2023年01月27日
Windows版 iCloud アプリで動画が破損するとの報告 2022年11月25日
攻撃者が多要素認証エンロールの仕組みを悪用し、多要素認証を有効にした組織のアカウントを入手する手法 2022年08月25日
ポイントを引き換えようとすると規約違反でアカウント停止になるMicrosoftのポイントプログラム 2022年06月05日
Windows 10でタスクバーの検索が機能しなくなる問題が一時的に発生 2020年02月09日
Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 2017年02月26日
Bing Maps、オーストラリア・メルボルンを東北沖に表示していた 2016年08月26日