Microsoft behebt die „BingBang“-Schwachstelle, die eine Manipulation von Inhalten der Bing-Suche und Datendiebstahl von Office 365 ermöglicht
2 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Ich habe mich in einen gehackt @Bing CMS, mit dem ich Suchergebnisse ändern und Millionen davon übernehmen konnte @Büro 365 Konten.
Wie habe ich es gemacht? Nun, alles begann mit einem einfachen Einklicken @Azurblau…?
Dies ist die Geschichte von #bingbang ??? pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) 29. März 2023
Sicherheitsexperten von Wiz Research entdeckten ein Problem in Azure Active Directory (AAD), das es ihnen bald ermöglichte, den Inhalt auf Bing.com mit einer falsch konfigurierten „Bing Trivia“-App zu manipulieren und einen Cross-Site Scripting (XSS)-Angriff durchzuführen. Glücklicherweise ist das Problem mit dem Namen „BingBang“, das Hackern den Zugriff auf die Microsoft 365-Kontodaten von Millionen von Menschen hätte ermöglichen können, wurde von Microsoft sofort behoben, nachdem Wiz die Entdeckung gemeldet hatte.
Das Problem wurde Microsoft am 31. Januar von Wiz mitgeteilt und am 2. Februar von Microsoft behoben, Tage bevor der Softwareriese das neue Bing offiziell ankündigte. Laut dem Bericht von Wiz könnte das Problem jahrelang ausgenutzt worden sein. Es fügte jedoch hinzu, dass es keine Hinweise darauf gibt, dass Hacker es verwendet haben.
Mit diesem Token könnte ein Angreifer Folgendes abrufen:
Outlook-E-Mails ??
Kalender ?
Teams-Nachrichten?
SharePoint-Dokumente ?
OneDrive-Dateien?
Und mehr, von jedem Bing-Benutzer!Hier sehen Sie, wie mein persönlicher Posteingang auf unserer „Angreifermaschine“ mit dem exfiltrierten Bing-Token gelesen wird: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) 29. März 2023
In dem Bericht erläuterten die Forscher, wie sie den sogenannten „BingBang“-Angriff durchführen konnten, indem sie zunächst die falsch konfigurierte Microsoft-Anwendung verwendeten, um einen bestimmten Bing.com-Suchergebnisinhalt zu ändern. Dieser Fehler rührt nach Angaben des Konzerns von der „riskanten Konfiguration“ in AAD her.
„Diese Shared-Responsibility-Architektur ist Entwicklern nicht immer klar, und daher sind Validierungs- und Konfigurationsfehler weit verbreitet“, schrieb Wiz in dem Blogbeitrag und fügte hinzu, dass etwa 25 % der von der Gruppe gescannten mandantenfähigen Apps dafür anfällig waren BingBang.
Danach versuchte Wiz, eine harmlose XSS-Nutzlast zu Bing.com hinzuzufügen, was erfolgreich war. Die Gruppe sagte, wenn dieses Problem nicht angegangen würde, hätte es Millionen von Menschen weltweit betreffen können.
„Ein böswilliger Akteur mit dem gleichen Zugriff hätte die beliebtesten Suchergebnisse mit der gleichen Payload kapern und die sensiblen Daten von Millionen von Benutzern durchsickern lassen können“, the berichten hinzugefügt. „Laut SimilarWeb ist Bing mit über einer Milliarde Seitenaufrufen pro Monat die 27. meistbesuchte Website der Welt – mit anderen Worten, Millionen von Benutzern könnten böswilligen Suchergebnissen und Office 365-Datendiebstahl ausgesetzt gewesen sein.“
Unterdessen veröffentlichte Microsoft eine beratend Einzelheiten zu den Maßnahmen zur Behebung des Problems. Nach Angaben des Softwareunternehmens hat es „nur eine kleine Anzahl unserer internen Anwendungen beeinflusst“. Nichtsdestotrotz versicherte es, dass die Fehlkonfiguration sofort korrigiert worden sei und dass es „zusätzliche Änderungen vorgenommen habe, um das Risiko zukünftiger Fehlkonfigurationen zu verringern“.
