Η Microsoft διορθώνει την ευπάθεια 'BingBang' επιτρέποντας τη χειραγώγηση περιεχομένου αναζήτησης Bing, την κλοπή δεδομένων του Office 365

χακάρισα σε ένα @ Μπινγκ CMS που μου επέτρεψε να αλλάξω τα αποτελέσματα αναζήτησης και να αναλάβω εκατομμύρια @Office365 λογαριασμούς.
Πώς το έκανα; Λοιπόν, όλα ξεκίνησαν με ένα απλό κλικ μέσα @Γαλανός…;
Αυτή είναι η ιστορία του #Η μεγάλη έκρηξη ??? pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) Μαρτίου 29, 2023

Οι ειδικοί ασφαλείας της Wiz Research ανακάλυψαν ένα πρόβλημα στο Azure Active Directory (AAD) που τους επέτρεψε σύντομα να χειριστούν το περιεχόμενο στο Bing.com χρησιμοποιώντας μια εσφαλμένη διαμορφωμένη εφαρμογή "Bing Trivia" και να εκτελέσουν μια επίθεση Cross-Site Scripting (XSS). Ευτυχώς, το πρόβλημα που ονομάζεται "Η μεγάλη έκρηξη», το οποίο θα μπορούσε να έχει επιτρέψει σε χάκερ να έχουν πρόσβαση στα δεδομένα του λογαριασμού Microsoft 365 εκατομμυρίων ανθρώπων, διορθώθηκε αμέσως από τη Microsoft αφού η Wiz ανέφερε την ανακάλυψη.

Το ζήτημα άνοιξε από τη Wiz στη Microsoft τον περασμένο Ιανουάριο, στις 31 Ιανουαρίου και επιδιορθώθηκε από τη Microsoft στις 2 Φεβρουαρίου, μέρες πριν ο γίγαντας λογισμικού ανακοινώσει επίσημα το νέο Bing. Σύμφωνα με το ρεπορτάζ του Wiz, το ζήτημα θα μπορούσε να είχε γίνει αντικείμενο εκμετάλλευσης για χρόνια. Ωστόσο, πρόσθεσε ότι δεν υπάρχουν ενδείξεις ότι το χρησιμοποίησαν χάκερ.

Με αυτό το διακριτικό, ένας εισβολέας θα μπορούσε να πάρει:

email του Outlook ??
Ημερολόγια ;
Μηνύματα ομάδων;
Έγγραφα SharePoint;
Αρχεία OneDrive;
Και περισσότερα, από οποιονδήποτε χρήστη του Bing!

Εδώ μπορείτε να δείτε τα προσωπικά εισερχόμενά μου να διαβάζονται στη "μηχανή μας επιτιθέμενου", χρησιμοποιώντας το διακριτικό Bing: pic.twitter.com/f6aHiXYWvD

— Hillai Ben-Sasson (@hillai) Μαρτίου 29, 2023

Στην αναφορά, οι ερευνητές ανέλυσαν πώς μπόρεσαν να εκτελέσουν τη λεγόμενη επίθεση "BingBang" χρησιμοποιώντας πρώτα την εσφαλμένη ρύθμιση της εφαρμογής της Microsoft για να τροποποιήσουν ένα συγκεκριμένο περιεχόμενο αποτελεσμάτων αναζήτησης Bing.com. Σύμφωνα με την ομάδα, αυτό το λάθος προήλθε από την «επικίνδυνη διαμόρφωση» στο AAD.

«Αυτή η αρχιτεκτονική κοινής ευθύνης δεν είναι πάντα σαφής στους προγραμματιστές και ως εκ τούτου, τα λάθη επικύρωσης και διαμόρφωσης είναι αρκετά διαδεδομένα», έγραψε ο Wiz στην ανάρτηση ιστολογίου, προσθέτοντας ότι περίπου το 25% των εφαρμογών πολλών ενοικιαστών που σάρωνε η ​​ομάδα ήταν ευάλωτες σε Η μεγάλη έκρηξη.

Μετά από αυτό, η Wiz προσπάθησε να προσθέσει ένα αβλαβές ωφέλιμο φορτίο XSS στο Bing.com, κάτι που ήταν επιτυχές. Η ομάδα είπε ότι αν δεν αντιμετωπιστεί, αυτό το πρόβλημα θα μπορούσε να έχει επηρεάσει εκατομμύρια ανθρώπους σε όλο τον κόσμο.

"Ένας κακόβουλος παράγοντας με την ίδια πρόσβαση θα μπορούσε να είχε παραβιάσει τα πιο δημοφιλή αποτελέσματα αναζήτησης με το ίδιο ωφέλιμο φορτίο και να είχε διαρρεύσει τα ευαίσθητα δεδομένα εκατομμυρίων χρηστών", το αναφέρουν προστέθηκε. «Σύμφωνα με το SimilarWeb, το Bing είναι ο 27ος ιστότοπος με τις περισσότερες επισκέψεις στον κόσμο, με περισσότερες από ένα δισεκατομμύριο προβολές σελίδων το μήνα – με άλλα λόγια, εκατομμύρια χρήστες θα μπορούσαν να έχουν εκτεθεί σε κακόβουλα αποτελέσματα αναζήτησης και κλοπή δεδομένων του Office 365».

Εν τω μεταξύ, η Microsoft κυκλοφόρησε ένα συμβουλευτικός λεπτομερώς τις ενέργειές της για την επίλυση του ζητήματος. Σύμφωνα με την εταιρεία λογισμικού, «επηρέασε μόνο έναν μικρό αριθμό εσωτερικών εφαρμογών μας». Ωστόσο, διαβεβαίωσε ότι η εσφαλμένη διαμόρφωση είχε διορθωθεί αμέσως και ότι «έκανε πρόσθετες αλλαγές για να μειώσει τον κίνδυνο μελλοντικών εσφαλμένων διαμορφώσεων».