Microsoft corrige la vulnérabilité « BingBang » permettant la manipulation du contenu de la recherche Bing et le vol de données Office 365

Icône de temps de lecture 2 minute. lis


Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale Plus d'informations

Les experts en sécurité de Wiz Research ont découvert un problème dans Azure Active Directory (AAD) qui leur a rapidement permis de manipuler le contenu sur Bing.com à l'aide d'une application "Bing Trivia" mal configurée et d'effectuer une attaque Cross-Site Scripting (XSS). Heureusement, le problème nommé "Bing-bang», qui aurait pu permettre à des pirates d'accéder aux données de comptes Microsoft 365 de millions de personnes, a été corrigé immédiatement par Microsoft après que Wiz a signalé la découverte.

Le problème a été ouvert par Wiz à Microsoft le 31 janvier dernier et a été résolu par Microsoft le 2 février, quelques jours avant que le géant du logiciel n'annonce officiellement le nouveau Bing. Selon le rapport de Wiz, le problème aurait pu être exploité pendant des années. Cependant, il a ajouté qu'il n'y a aucune indication que des pirates l'ont utilisé.

Dans le rapport, les chercheurs ont détaillé comment ils ont pu effectuer l'attaque dite "BingBang" en utilisant d'abord l'application Microsoft mal configurée pour modifier un contenu de résultat de recherche Bing.com spécifique. Selon le groupe, cette erreur trouve son origine dans la "configuration risquée" d'AAD.

"Cette architecture de responsabilité partagée n'est pas toujours claire pour les développeurs, et par conséquent, les erreurs de validation et de configuration sont assez fréquentes", a écrit Wiz dans le billet de blog, ajoutant qu'environ 25% des applications multi-locataires analysées par le groupe étaient vulnérables à la Bing-bang.

Après cela, Wiz a essayé d'ajouter une charge utile XSS inoffensive à Bing.com, ce qui a réussi. Le groupe a déclaré que s'il n'était pas résolu, ce problème aurait pu affecter des millions de personnes dans le monde.

"Un acteur malveillant avec le même accès aurait pu détourner les résultats de recherche les plus populaires avec la même charge utile et divulguer les données sensibles de millions d'utilisateurs", a déclaré le rapport ajoutée. "Selon SimilarWeb, Bing est le 27e site Web le plus visité au monde, avec plus d'un milliard de pages vues par mois. En d'autres termes, des millions d'utilisateurs auraient pu être exposés à des résultats de recherche malveillants et au vol de données Office 365."

Pendant ce temps, Microsoft a publié un consultatif détaillant ses actions pour résoudre le problème. Selon l'éditeur de logiciels, cela "n'a eu d'impact que sur un petit nombre de nos applications internes". Néanmoins, il a assuré que la mauvaise configuration avait été corrigée immédiatement et qu'il "avait apporté des modifications supplémentaires pour réduire le risque de mauvaises configurations futures".

En savoir plus sur les sujets : Azure Active Directory, bing, Microsoft 365, sécurité

Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués *