A Microsoft kijavította a „BingBang” biztonsági rést, amely lehetővé teszi a Bing keresési tartalom manipulálását, az Office 365 adatlopását

Feltörtem a @Bing CMS, amely lehetővé tette számomra, hogy módosítsam a keresési eredményeket, és átvegyem milliókat @Office365 fiókok.
Hogyan csináltam? Nos, minden egy egyszerű kattintással kezdődött @Égszínkék…?
Ez a történet #BingBang ? pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) Március 29, 2023

A Wiz Research biztonsági szakértői olyan hibát fedeztek fel az Azure Active Directoryban (AAD), amely hamarosan lehetővé tette számukra, hogy egy rosszul konfigurált „Bing Trivia” alkalmazás segítségével manipulálják a Bing.com webhely tartalmát, és Cross-Site Scripting (XSS) támadást hajtsanak végre. Szerencsére a probléma a „BingBang”, amellyel a hackerek több millió ember Microsoft 365-fiókadataihoz férhettek hozzá, a Microsoft azonnal kijavította, miután a Wiz bejelentette a felfedezést.

A problémát a Wiz tavaly január 31-én nyitotta meg a Microsoftnak, a Microsoft pedig február 2-án javította ki, napokkal azelőtt, hogy a szoftveróriás hivatalosan bejelentette az új Binget. A Wiz jelentése szerint a problémát évekig lehetett volna kihasználni. Hozzátette azonban, hogy nincs arra utaló jel, hogy hackerek használták volna.

Ezzel a tokennel a támadó letöltheti:

Outlook e-mailek??
Naptárak?
Teams üzenetek?
SharePoint dokumentumok?
OneDrive fájlok?
És még több minden Bing-felhasználótól!

Itt láthatja, hogy a személyes postafiókomat a „támadógépünkön” olvassák, a kiszűrt Bing token használatával: pic.twitter.com/f6aHiXYWvD

— Hillai Ben-Sasson (@hillai) Március 29, 2023

A jelentésben a kutatók részletezték, hogyan tudták végrehajtani az úgynevezett „BingBang” támadást úgy, hogy először a rosszul konfigurált Microsoft alkalmazást használták egy adott Bing.com keresési eredmény tartalmának módosítására. A csoport szerint ez a hiba az AAD „kockázatos konfigurációjából” ered.

"Ez a megosztott felelősség architektúra nem mindig egyértelmű a fejlesztők számára, és ennek eredményeként az érvényesítési és konfigurációs hibák meglehetősen gyakoriak" - írta Wiz a blogbejegyzésben, hozzátéve, hogy a csoport által vizsgált több bérlős alkalmazások körülbelül 25%-a volt sebezhető a BingBang.

Ezek után a Wiz megpróbált egy ártalmatlan XSS rakományt hozzáadni a Bing.com-hoz, ami sikeres volt. A csoport szerint ha nem foglalkoznak ezzel a problémával, emberek millióit érinthette volna világszerte.

„Egy azonos hozzáféréssel rendelkező rosszindulatú szereplő eltéríthette volna a legnépszerűbb keresési eredményeket ugyanazzal a terheléssel, és több millió felhasználó érzékeny adatait szivárogtathatta volna ki” jelentést tette hozzá. „A LikeWeb szerint a Bing a 27. leglátogatottabb webhely a világon, több mint egymilliárd oldalmegtekintéssel havonta – vagyis több millió felhasználó kerülhetett ki rosszindulatú keresési eredményeknek és az Office 365 adatlopásának.”

Eközben a Microsoft kiadott egy tanácsadó részletezi a probléma megoldására tett intézkedéseit. A szoftvercég szerint ez „csak kis számú belső alkalmazásainkra volt hatással”. Ennek ellenére biztosította, hogy a hibás konfigurációt azonnal kijavították, és „további változtatásokat hajtott végre a jövőbeni hibás konfiguráció kockázatának csökkentése érdekében”.