一位安全研究人员最近发现了一个不安全的 Microsoft ServiceNow 实例,该实例允许访问大量敏感的内部数据,包括员工电子邮件地址、支持票证记录和附件。
该研究人员以笔名 Moblig 撰写文章,使用了一种名为 WhiteIntel 的工具,这是一种专门用于追踪涉及“信息窃取者”的数据泄露的搜索引擎。
https://medium.com/@moblig/how-i-accessed-microsofts-servicenow-exposing-all-microsoft-employee-emails-chat-support-5f8d535eb63b信息窃取者是一种从受感染系统收集凭证和敏感信息的恶意软件。
WhiteIntel 搜索引擎界面
信息窃取者通常会从不受保护的个人设备上的浏览器中获取已保存的登录详细信息,而公司员工可能会使用这些设备来访问公司基础设施。
当 Moblig 搜索与 Microsoft 域绑定的实例时,该工具发现了一个被盗用的凭证。
该凭证可用于访问 Microsoft 的 ServiceNow 实例。
Microsoft 的 ServiceNow 平台管理各种内部功能,包括人力资源流程、员工入职和支持票务处理。
在本案中,被盗用的凭证为 ServiceNow 系统提供了网关,由于旧式登录选项保持活动状态(可能用于第三方访问)。
因此绕过了 Microsoft 的单点登录 (SSO) 要求。
登录后,Moblig 浏览了 ServiceNow 的 REST API 文档并成功从特定端点检索数据。
通过这些,研究人员了解到:
-
超过 250,000 个 Microsoft 员工的电子邮件地址以及详细的个人信息。
-
敏感的支持票附件包含入职详细信息、内部支持通信和事件报告。
信息在线曝光
Moblig 于 2024 年 9 月 22 日向微软安全响应中心 (MSRC) 报告了这些发现。
在对该漏洞进行调查后,微软确认已在 2024 年 10 月 16 日之前实施了修复。
Moblig 指出,尽管此次披露可以显着增强安全性,但微软并没有提供任何金钱奖励。
与许多大型企业一样,微软依赖内部管理和检测响应系统,但正如本报告所强调的那样,员工对个人设备的使用仍然是一个明显的安全漏洞。
尽管 Moblig 在此案中采取了负责任的态度,并向微软报告了他们的发现,但说在他之前的其他人没有采取同样的做法也并非不合理,尤其是考虑到发现暴露实例的过程相对简单。