Microsoft corrige la vulnérabilité « BingBang » permettant la manipulation du contenu de la recherche Bing et le vol de données Office 365

j'ai piraté un @Bing CMS qui m'a permis de modifier les résultats de recherche et de prendre en charge des millions de @Bureau 365 comptes.
Comment ai-je fait ? Eh bien, tout a commencé par un simple clic @Bleu azur…?
c'est l'histoire de #Bing-bang Vous pouvez télécharger toutes les images dont vous avez besoin à partir du serveur de la caméra, de l'application ou du logiciel. pic.twitter.com/9pydWvHhJs

– Hillai Ben-Sasson (@hillai) 29 mars 2023

Les experts en sécurité de Wiz Research ont découvert un problème dans Azure Active Directory (AAD) qui leur a rapidement permis de manipuler le contenu sur Bing.com à l'aide d'une application "Bing Trivia" mal configurée et d'effectuer une attaque Cross-Site Scripting (XSS). Heureusement, le problème nommé "Bing-bang», qui aurait pu permettre à des pirates d'accéder aux données de comptes Microsoft 365 de millions de personnes, a été corrigé immédiatement par Microsoft après que Wiz a signalé la découverte.

Le problème a été ouvert par Wiz à Microsoft le 31 janvier dernier et a été résolu par Microsoft le 2 février, quelques jours avant que le géant du logiciel n'annonce officiellement le nouveau Bing. Selon le rapport de Wiz, le problème aurait pu être exploité pendant des années. Cependant, il a ajouté qu'il n'y a aucune indication que des pirates l'ont utilisé.

Avec ce jeton, un attaquant pourrait récupérer :

E-mails Outlook ??
Calendriers ?
Messages d'équipes ?
Documents SharePoint ?
Fichiers OneDrive ?
Et plus encore, de n'importe quel utilisateur Bing !

Ici, vous pouvez voir ma boîte de réception personnelle en train d'être lue sur notre « machine de l'attaquant », à l'aide du jeton Bing exfiltré : pic.twitter.com/f6aHiXYWvD

– Hillai Ben-Sasson (@hillai) 29 mars 2023

Dans le rapport, les chercheurs ont détaillé comment ils ont pu effectuer l'attaque dite "BingBang" en utilisant d'abord l'application Microsoft mal configurée pour modifier un contenu de résultat de recherche Bing.com spécifique. Selon le groupe, cette erreur trouve son origine dans la "configuration risquée" d'AAD.

"Cette architecture de responsabilité partagée n'est pas toujours claire pour les développeurs, et par conséquent, les erreurs de validation et de configuration sont assez fréquentes", a écrit Wiz dans le billet de blog, ajoutant qu'environ 25% des applications multi-locataires analysées par le groupe étaient vulnérables à la Bing-bang.

Après cela, Wiz a essayé d'ajouter une charge utile XSS inoffensive à Bing.com, ce qui a réussi. Le groupe a déclaré que s'il n'était pas résolu, ce problème aurait pu affecter des millions de personnes dans le monde.

"Un acteur malveillant avec le même accès aurait pu détourner les résultats de recherche les plus populaires avec la même charge utile et divulguer les données sensibles de millions d'utilisateurs", a déclaré le rapport ajoutée. "Selon SimilarWeb, Bing est le 27e site Web le plus visité au monde, avec plus d'un milliard de pages vues par mois. En d'autres termes, des millions d'utilisateurs auraient pu être exposés à des résultats de recherche malveillants et au vol de données Office 365."

Pendant ce temps, Microsoft a publié un consultatif détaillant ses actions pour résoudre le problème. Selon l'éditeur de logiciels, cela "n'a eu d'impact que sur un petit nombre de nos applications internes". Néanmoins, il a assuré que la mauvaise configuration avait été corrigée immédiatement et qu'il "avait apporté des modifications supplémentaires pour réduire le risque de mauvaises configurations futures".