Microsoft corrige la vulnerabilidad 'BingBang' que permite la manipulación del contenido de búsqueda de Bing y el robo de datos de Office 365

hackeé un @Bing CMS que me permitió modificar los resultados de búsqueda y controlar millones de @Oficina 365 cuentas.
¿Cómo lo hice? Bueno, todo comenzó con un simple clic en @Azur...?
Esta es la historia de #Bing Bang ? pic.twitter.com/9pydWvHhJs

—Hillai Ben-Sasson (@hillai) Marzo 29, 2023

Los expertos en seguridad de Wiz Research descubrieron un problema en Azure Active Directory (AAD) que pronto les permitió manipular el contenido en Bing.com usando una aplicación "Bing Trivia" mal configurada y realizar un ataque Cross-Site Scripting (XSS). Afortunadamente, el problema llamado “Bing Bang”, que podría haber permitido a los piratas informáticos acceder a los datos de la cuenta de Microsoft 365 de millones de personas, fue reparado inmediatamente por Microsoft después de que Wiz informara sobre el descubrimiento.

El problema lo abrió Wiz a Microsoft el pasado 31 de enero y Microsoft lo solucionó el 2 de febrero, días antes de que el gigante del software anunciara oficialmente el nuevo Bing. Según el informe de Wiz, el problema podría haber sido explotado durante años. Sin embargo, agregó que no hay indicios de que los piratas informáticos lo hayan usado.

Con este token, un atacante podría obtener:

Correos electrónicos de Outlook ??
¿Calendarios?
¿Mensajes de los equipos?
documentos de SharePoint?
¿Archivos de OneDrive?
¡Y más, de cualquier usuario de Bing!

Aquí puede ver cómo se lee mi bandeja de entrada personal en nuestra "máquina atacante", utilizando el token de Bing exfiltrado: pic.twitter.com/f6aHiXYWvD

—Hillai Ben-Sasson (@hillai) Marzo 29, 2023

En el informe, los investigadores detallaron cómo pudieron realizar el llamado ataque "BingBang" al usar primero la aplicación de Microsoft mal configurada para modificar un contenido específico de resultados de búsqueda de Bing.com. Según el grupo, este error se originó en la “configuración riesgosa” en AAD.

"Esta arquitectura de responsabilidad compartida no siempre es clara para los desarrolladores y, como resultado, los errores de validación y configuración son bastante frecuentes", escribió Wiz en la publicación del blog, y agregó que aproximadamente el 25 % de las aplicaciones multiinquilino que el grupo escaneó eran vulnerables a la Bing Bang.

Después de esto, Wiz intentó agregar una carga útil XSS inofensiva a Bing.com, y tuvo éxito. El grupo dijo que si no se aborda, este problema podría haber afectado a millones de personas en todo el mundo.

“Un actor malicioso con el mismo acceso podría haber secuestrado los resultados de búsqueda más populares con la misma carga útil y filtrado los datos confidenciales de millones de usuarios”, dijo el (reporte) agregado. “Según SimilarWeb, Bing es el sitio web número 27 más visitado del mundo, con más de mil millones de páginas vistas por mes; en otras palabras, millones de usuarios podrían haber estado expuestos a resultados de búsqueda maliciosos y al robo de datos de Office 365”.

Mientras tanto, Microsoft lanzó un asesor detallando sus acciones para resolver el problema. Según la compañía de software, solo “afectó a una pequeña cantidad de nuestras aplicaciones internas”. No obstante, aseguró que la mala configuración se había corregido de inmediato y que “hizo cambios adicionales para reducir el riesgo de futuras malas configuraciones”.