Microsoft korjaa "BingBang"-haavoittuvuuden, joka mahdollistaa Bing-haun sisällön manipuloinnin ja Office 365 -tietovarkauden
2 min. lukea
Julkaistu
Jaa tämä artikkeli
Paranna tätä ohjetta
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Hakkeroin a @Bing Sisällönhallintajärjestelmä, jonka avulla voin muuttaa hakutuloksia ja hallita miljoonia @Office365 tilejä.
Miten tein sen? No, kaikki alkoi yksinkertaisella napsautuksella @Taivaansininen…?
Tämä on tarina #bingbang ? pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) Maaliskuussa 29, 2023
Wiz Researchin tietoturvaasiantuntijat havaitsivat Azure Active Directoryssa (AAD) ongelman, jonka ansiosta he pystyivät pian manipuloimaan Bing.comin sisältöä väärin määritetyn "Bing Trivia" -sovelluksen avulla ja suorittamaan Cross-Site Scripting (XSS) -hyökkäyksen. Onneksi ongelma nimeltä "BingBang”, jonka avulla hakkerit olisivat voineet päästä käsiksi miljoonien ihmisten Microsoft 365 -tilitietoihin, Microsoft korjasi välittömästi Wizin raportoitua löydöstä.
Wiz avasi ongelman Microsoftille viime tammikuun 31. päivänä, ja Microsoft korjasi sen 2. helmikuuta, päivää ennen kuin ohjelmistojätti ilmoitti virallisesti uudesta Bingistä. Wizin raportin mukaan ongelmaa olisi voitu hyödyntää vuosia. Se lisäsi kuitenkin, ettei ole viitteitä hakkereiden käyttäneen sitä.
Tällä tunnuksella hyökkääjä voi hakea:
Outlook sähköpostit??
Kalenterit?
Teamsin viestit?
SharePoint-asiakirjat?
OneDrive-tiedostot?
Ja enemmän kaikilta Bing-käyttäjiltä!Täällä voit nähdä henkilökohtaista postilaatikkoani luettavan "hyökkääjäkoneellamme" käyttämällä suodatettua Bing-tunnusta: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) Maaliskuussa 29, 2023
Raportissa tutkijat selvittivät, kuinka he pystyivät suorittamaan niin sanotun "BingBang"-hyökkäyksen käyttämällä ensin väärin määritettyä Microsoft-sovellusta muokkaamaan tiettyä Bing.com-hakutulosten sisältöä. Ryhmän mukaan tämä virhe johtui AAD:n "riskisestä konfiguraatiosta".
"Tämä Shared Responsibility -arkkitehtuuri ei ole aina selvää kehittäjille, ja sen seurauksena validointi- ja määritysvirheet ovat melko yleisiä", Wiz kirjoitti blogikirjoituksessaan ja lisäsi, että noin 25 % ryhmän skannaamista usean vuokraajan sovelluksista oli alttiina BingBang.
Tämän jälkeen Wiz yritti lisätä vaarattoman XSS-hyötykuorman Bing.comiin, mikä onnistui. Ryhmä sanoi, että jos ongelmaa ei käsitellä, se olisi voinut vaikuttaa miljooniin ihmisiin maailmanlaajuisesti.
"Haitallinen toimija, jolla on sama käyttöoikeus, olisi voinut kaapata suosituimmat hakutulokset samalla hyötykuormalla ja vuotaa miljoonien käyttäjien arkaluontoiset tiedot", raportti lisätty. "SamaladWebin mukaan Bing on maailman 27. vierailluin verkkosivusto yli miljardilla sivun katselukerralla kuukaudessa – toisin sanoen miljoonat käyttäjät olisivat voineet joutua alttiiksi haitallisille hakutuloksille ja Office 365 -tietovarkauksille."
Samaan aikaan Microsoft julkaisi neuvontapalvelut yksityiskohtaisesti toimintansa ongelman ratkaisemiseksi. Ohjelmistoyhtiön mukaan se "vaikutti vain pieneen määrään sisäisiä sovelluksiamme". Siitä huolimatta se vakuutti, että virheellinen määritys oli korjattu välittömästi ja että se "tesi lisämuutoksia vähentääkseen tulevien virheiden riskiä".
