مایکروسافت آسیبپذیری BingBang را برطرف میکند که امکان دستکاری محتوای جستجوی Bing، سرقت دادههای Office 365 را فراهم میکند.
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
من به یک هک کردم Bing CMS که به من اجازه داد نتایج جستجو را تغییر دهم و میلیون ها مورد را تصاحب کنم @دفتر 365 حساب.
چگونه این کار را انجام دادم؟ خوب، همه چیز با یک کلیک ساده شروع شد @Azure…؟
این داستان از است #BingBang ؟ pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) مارس 29، 2023
کارشناسان امنیتی در ویز ریسرچ مشکلی را در Azure Active Directory (AAD) کشف کردند که به زودی به آنها اجازه داد تا محتوای موجود در Bing.com را با استفاده از یک برنامه "Bing Trivia" پیکربندی نادرست دستکاری کنند و یک حمله Cross-Site Scripting (XSS) انجام دهند. خوشبختانه مشکل به نام "بینگ بنگ"، که می توانست به هکرها اجازه دهد به داده های حساب مایکروسافت 365 میلیون ها نفر دسترسی داشته باشند، بلافاصله پس از اینکه ویز کشف را گزارش کرد، توسط مایکروسافت رفع شد.
این مشکل توسط Wiz برای مایکروسافت در 31 ژانویه گذشته باز شد و توسط مایکروسافت در 2 فوریه، چند روز قبل از اینکه غول نرم افزاری به طور رسمی Bing جدید را معرفی کرد، رفع شد. بر اساس گزارش ویز، این موضوع می توانست سال ها مورد سوء استفاده قرار گیرد. با این حال، اضافه کرد که هیچ نشانه ای وجود ندارد که هکرها از آن استفاده کرده باشند.
با این توکن، مهاجم می تواند واکشی کند:
ایمیل های Outlook ??
تقویم ها؟
پیام های تیم ها؟
اسناد شیرپوینت؟
فایل های OneDrive؟
و بیشتر، از هر کاربر Bing!در اینجا میتوانید صندوق ورودی شخصی من را ببینید که در «ماشین مهاجم» ما، با استفاده از توکن استخراجشده Bing خوانده میشود: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) مارس 29، 2023
در این گزارش، محققان نحوه انجام حمله موسوم به "BingBang" را با استفاده از برنامه مایکروسافت که پیکربندی نادرست انجام داده بودند، توضیح دادند تا محتوای نتایج جستجوی خاص Bing.com را تغییر دهند. به گفته این گروه، این اشتباه از "پیکربندی مخاطره آمیز" در AAD سرچشمه گرفته است.
ویز در پست وبلاگ نوشت: «این معماری مسئولیت مشترک همیشه برای توسعه دهندگان واضح نیست، و در نتیجه، اشتباهات اعتبارسنجی و پیکربندی کاملاً رایج است. بینگ بنگ.
پس از این، ویز سعی کرد یک بار بی ضرر XSS را به Bing.com اضافه کند که موفقیت آمیز بود. این گروه گفت که اگر به این مشکل رسیدگی نشود، میتوانست میلیونها نفر را در سراسر جهان تحت تأثیر قرار دهد.
"یک عامل مخرب با دسترسی یکسان میتوانست محبوبترین نتایج جستجو را با همان بار ربوده و اطلاعات حساس میلیونها کاربر را به بیرون درز کند." گزارش اضافه. طبق گزارش SimilarWeb، بینگ بیست و هفتمین وب سایت پربازدید در جهان است، با بیش از یک میلیارد بازدید از صفحه در ماه – به عبارت دیگر، میلیون ها کاربر ممکن است در معرض نتایج جستجوی مخرب و سرقت داده های Office 27 قرار بگیرند.
در همین حال، مایکروسافت یک مشاوره جزئیات اقدامات خود برای حل مشکل. به گفته این شرکت نرم افزاری، این تنها «بر تعداد کمی از برنامه های داخلی ما تأثیر گذاشته است». با این وجود، اطمینان داد که پیکربندی نادرست بلافاصله اصلاح شده است و "تغییرات اضافی برای کاهش خطر پیکربندی اشتباه در آینده ایجاد کرده است."