Microsoft opravuje zranitelnost „BingBang“, která umožňuje manipulaci s obsahem vyhledávání Bing, krádež dat Office 365

Naboural jsem se do a @Bing CMS, který mi umožnil měnit výsledky vyhledávání a přebírat miliony @Office365 účty.
jak jsem to udělal? Všechno to začalo jednoduchým kliknutím @Blankyt…?
Toto je příběh #Bing Bang ? pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 29. března 2023

Bezpečnostní experti z Wiz Research objevili problém v Azure Active Directory (AAD), který jim brzy umožnil manipulovat s obsahem na Bing.com pomocí špatně nakonfigurované aplikace „Bing Trivia“ a provádět útok Cross-Site Scripting (XSS). Naštěstí problém s názvem „Bing Bang“, který mohl hackerům umožnit přístup k datům účtů Microsoft 365 milionů lidí, byl Microsoft opraven okamžitě poté, co Wiz nahlásil objev.

Tento problém otevřel Wiz Microsoftu loni 31. ledna a Microsoft ho vyřešil 2. února, několik dní předtím, než softwarový gigant oficiálně oznámil nový Bing. Podle zprávy od Wiz mohl být problém zneužíván roky. Dodal však, že neexistují žádné náznaky, že by jej hackeři použili.

S tímto tokenem by útočník mohl získat:

Outlook emaily??
Kalendáře?
Zprávy týmů?
SharePoint dokumenty?
soubory OneDrive?
A více, od jakéhokoli uživatele Bing!

Zde můžete vidět čtení mé osobní schránky na našem „útočníku“ pomocí exfiltrovaného tokenu Bing: pic.twitter.com/f6aHiXYWvD

— Hillai Ben-Sasson (@hillai) 29. března 2023

Ve zprávě výzkumníci podrobně popsali, jak byli schopni provést takzvaný útok „BingBang“ tím, že nejprve použili špatně nakonfigurovanou aplikaci Microsoftu k úpravě konkrétního obsahu výsledků vyhledávání na Bing.com. Podle skupiny tato chyba pochází z „rizikové konfigurace“ v AAD.

„Tato architektura sdílené odpovědnosti není vývojářům vždy jasná a v důsledku toho jsou chyby ověřování a konfigurace poměrně rozšířené,“ napsal Wiz v příspěvku na blogu a dodal, že přibližně 25 % aplikací pro více nájemců, které skupina zkontrolovala, bylo zranitelných vůči Bing Bang.

Poté se Wiz pokusil přidat neškodnou zátěž XSS na Bing.com, což bylo úspěšné. Skupina uvedla, že pokud by se tento problém neřešil, mohl by postihnout miliony lidí po celém světě.

„Zlomyslný hráč se stejným přístupem by mohl unést nejoblíbenější výsledky vyhledávání se stejným užitečným zatížením a uniknout citlivá data milionů uživatelů,“ zprávy přidal. „Podle SimilarWeb je Bing 27. nejnavštěvovanější web na světě s více než miliardou zobrazení stránek za měsíc – jinými slovy, miliony uživatelů mohly být vystaveny škodlivým výsledkům vyhledávání a krádeži dat Office 365.“

Mezitím Microsoft vydal poradní podrobně popisuje své kroky k vyřešení problému. Podle softwarové společnosti to „zasáhlo pouze malý počet našich interních aplikací“. Nicméně ujistil, že chybná konfigurace byla okamžitě opravena a že „provedla další změny, aby se snížilo riziko budoucích chybných konfigurací“.