Microsoft retter "BingBang"-sårbarheden, der tillader manipulation af Bing-søgeindhold, Office 365-datatyveri
2 min. Læs
Udgivet den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Jeg hackede ind i en @Bing CMS, der gjorde det muligt for mig at ændre søgeresultater og overtage millioner af @Office365 konti.
Hvordan gjorde jeg det? Nå, det hele startede med et simpelt klik ind @Azurblå…?
Dette er historien om #bingbang ??? pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) Marts 29, 2023
Sikkerhedseksperter hos Wiz Research opdagede et problem i Azure Active Directory (AAD), som snart gjorde det muligt for dem at manipulere indholdet på Bing.com ved hjælp af en forkert konfigureret "Bing Trivia"-app og udføre et Cross-Site Scripting (XSS)-angreb. Heldigvis er problemet med navnet "BingBang,” som kunne have givet hackere adgang til millioner af menneskers Microsoft 365-kontodata, blev rettet straks af Microsoft efter Wiz rapporterede opdagelsen.
Problemet blev åbnet af Wiz til Microsoft sidste januar 31 og blev rettet af Microsoft den 2. februar, dage før softwaregiganten officielt annoncerede den nye Bing. Ifølge rapporten fra Wiz kunne problemet have været udnyttet i årevis. Det tilføjede dog, at der ikke er indikationer af, at hackere brugte det.
Med dette token kunne en angriber hente:
Outlook e-mails ??
kalendere?
Teams beskeder?
SharePoint-dokumenter?
OneDrive-filer?
Og mere fra enhver Bing-bruger!Her kan du se min personlige indbakke blive læst på vores "angribermaskine", ved hjælp af det eksfiltrerede Bing-token: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) Marts 29, 2023
I rapporten beskrev forskerne, hvordan de var i stand til at udføre det såkaldte "BingBang"-angreb ved først at bruge den forkert konfigurerede Microsoft-applikation til at ændre et specifikt Bing.com-søgeresultatindhold. Ifølge gruppen stammer denne fejl fra den "risikofyldte konfiguration" i AAD.
"Denne Shared Responsibility-arkitektur er ikke altid klar for udviklere, og som et resultat er validerings- og konfigurationsfejl ret udbredte," skrev Wiz i blogindlægget og tilføjede, at cirka 25 % af de multi-lejer-apps, som gruppen scannede, var sårbare over for BingBang.
Herefter forsøgte Wiz at tilføje en harmløs XSS-nyttelast til Bing.com, hvilket lykkedes. Gruppen sagde, at hvis dette problem ikke blev behandlet, kunne det have påvirket millioner af mennesker verden over.
"En ondsindet aktør med samme adgang kunne have kapret de mest populære søgeresultater med samme nyttelast og lækket følsomme data fra millioner af brugere," indberette tilføjet. "Ifølge SimilarWeb er Bing den 27. mest besøgte hjemmeside i verden med over en milliard sidevisninger om måneden – med andre ord kunne millioner af brugere have været udsat for ondsindede søgeresultater og Office 365-datatyveri."
I mellemtiden udgav Microsoft en rådgivende detaljerede sine handlinger for at løse problemet. Ifølge softwarefirmaet "påvirkede det kun et lille antal af vores interne applikationer." Ikke desto mindre forsikrede den, at fejlkonfigurationen var blevet rettet med det samme, og at den "foretog yderligere ændringer for at reducere risikoen for fremtidige fejlkonfigurationer."
