Microsoft ispravlja ranjivost 'BingBang' koja dopušta manipulaciju sadržajem Bing pretraživanja, krađu podataka Office 365
2 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Upao sam u a @Bing CMS koji mi je omogućio da promijenim rezultate pretraživanja i preuzmem milijune @Office365 računi.
Kako sam to uspio? Pa, sve je počelo jednostavnim klikom @Azure...?
Ovo je priča o #Veliki prasak ? pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) Ožujak 29, 2023
Stručnjaci za sigurnost u Wiz Researchu otkrili su problem u Azure Active Directory (AAD) koji im je ubrzo omogućio manipuliranje sadržajem na Bing.com pomoću pogrešno konfigurirane aplikacije “Bing Trivia” i izvođenje napada Cross-Site Scripting (XSS). Srećom, problem pod nazivom "Veliki prasak”, koji je hakerima mogao omogućiti pristup podacima o Microsoft 365 računima milijuna ljudi, Microsoft je odmah popravio nakon što je Wiz prijavio otkriće.
Problem je Microsoftu otvorio Wiz prošlog 31. siječnja, a Microsoft ga je riješio 2. veljače, nekoliko dana prije nego što je softverski div službeno najavio novi Bing. Prema izvješću iz Wiza, problem se mogao iskorištavati godinama. Međutim, dodaje se da nema naznaka da su ga hakeri koristili.
S ovim tokenom, napadač bi mogao dohvatiti:
Outlook e-poruke??
Kalendari?
Poruke timova?
SharePoint dokumenti?
OneDrive datoteke?
I više od bilo kojeg korisnika Binga!Ovdje možete vidjeti kako se moj osobni sandučić čita na našem "napadačkom stroju", koristeći eksfiltrirani Bing token: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) Ožujak 29, 2023
U izvješću su istraživači detaljno opisali kako su uspjeli izvesti takozvani "BingBang" napad tako što su najprije upotrijebili pogrešno konfiguriranu Microsoftovu aplikaciju za izmjenu određenog sadržaja Bing.com rezultata pretraživanja. Prema skupini, ova je pogreška proizašla iz "rizične konfiguracije" u AAD-u.
"Ova arhitektura dijeljene odgovornosti nije uvijek jasna razvojnim programerima, a kao rezultat toga, pogreške u validaciji i konfiguraciji prilično su raširene", napisao je Wiz u postu na blogu, dodajući da je otprilike 25% aplikacija s više korisnika koje je grupa skenirala bilo ranjivo na Veliki prasak.
Nakon toga, Wiz je pokušao dodati bezopasni XSS korisni teret na Bing.com, što je bilo uspješno. Grupa je rekla da je ovaj problem mogao utjecati na milijune ljudi diljem svijeta ako se ne riješi.
"Zlonamjerni akter s istim pristupom mogao je preoteti najpopularnije rezultate pretraživanja s istim opterećenjem i procuriti osjetljive podatke milijuna korisnika", prijaviti dodao. “Prema SimilarWebu, Bing je 27. najposjećenija web stranica na svijetu, s više od milijardu pregleda stranica mjesečno – drugim riječima, milijuni korisnika mogli su biti izloženi zlonamjernim rezultatima pretraživanja i krađi podataka sustava Office 365.”
U međuvremenu, Microsoft je objavio savjetodavni s detaljima svojih postupaka za rješavanje problema. Prema softverskoj tvrtki, to je "utjecalo samo na mali broj naših internih aplikacija." Unatoč tome, uvjerio je da je pogrešna konfiguracija odmah ispravljena i da je "napravio dodatne promjene kako bi smanjio rizik od budućih pogrešnih konfiguracija."
