Recentemente è stata scoperta una grave falla di sicurezza dovuta a una configurazione errata di Azure Active Directory di Microsoft. I membri HIN sono invitati a mettere in sicurezza il proprio ambiente e ad adottare relative misure di protezione.
Azure Active Directory (AAD) di Microsoft offre ad amministratori e sviluppatori la possibilità di autentificazione semplice di utenti e funzioni Single Sign-On. Consente anche l’autentificazione di utenti al di fuori della propria organizzazione, un aspetto vantaggioso per applicazioni web pubbliche. L’attivazione di questa «multi tenancy» può tuttavia comportare dei rischi di sicurezza. Microsoft è ora essa stessa vittima di un simile attacco informatico, come ha riferito «heise online».Manipolando i risultati di ricerca nel motore di ricerca «Bing», un ricercatore di sicurezza è riuscito a posizionare i propri risultati in cima all’elenco combinandoli con un codice dannoso. Sarebbe stato in grado di rubare, ad esempio, cookie dʼaccesso di clienti registrati di Office365. Microsoft ha reagito rapidamente mettendo a disposizione un hotfix.Se nella vostra azienda utilizzate AAD vi consigliamo di leggere il dettagliato articolo blog dei relativi scopritori dove viene anche spiegato come mettere in sicurezza il proprio ambiente.