En BlackHat 2024, investigadores de seguridad presentaron el ataque 'BingBang', un estudio de caso que demuestra cómo una sola mala configuración de Azure Active Directory podría llevar a un compromiso total del motor de búsqueda Bing de Microsoft. El ataque explotó una vulnerabilidad en el modelo de aplicación multiinquilino de Azure AD, permitiendo a un atacante escalar privilegios y obtener acceso no autorizado a recursos internos. Este incidente subraya la complejidad de la gestión de identidades en la nube y la necesidad de monitoreo continuo y políticas de acceso con privilegios mínimos. Para las organizaciones que dependen de Azure AD, este caso sirve como un recordatorio severo de que incluso errores de configuración menores pueden tener consecuencias catastróficas.
Una presentación en BlackHat 2024 detalló cómo una instancia de Azure AD mal configurada permitió a atacantes comprometer a Bing. Este caso resalta la importancia crítica de la gobernanza de identidades en la nube.