Microsoft memperbaiki kerentanan 'BingBang' yang memungkinkan manipulasi konten pencarian Bing, pencurian data Office 365

Saya meretas sebuah @Bing CMS yang memungkinkan saya untuk mengubah hasil pencarian dan mengambil alih jutaan @Kantor 365 account.
Bagaimana saya melakukannya? Yah, semuanya dimulai dengan klik sederhana @Biru langit…?
Ini adalah kisah #bingbang ?? pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 29 Maret, 2023

Pakar keamanan di Wiz Research menemukan masalah di Azure Active Directory (AAD) yang segera memungkinkan mereka memanipulasi konten di Bing.com menggunakan aplikasi "Bing Trivia" yang salah konfigurasi dan melakukan serangan Cross-Site Scripting (XSS). Untungnya, masalah bernama “BingBang,” yang memungkinkan peretas mengakses data akun Microsoft 365 jutaan orang, segera diperbaiki oleh Microsoft setelah Wiz melaporkan penemuan tersebut.

Masalah ini dibuka oleh Wiz ke Microsoft pada 31 Januari lalu dan diperbaiki oleh Microsoft pada 2 Februari, beberapa hari sebelum raksasa perangkat lunak tersebut secara resmi mengumumkan Bing baru. Menurut laporan dari Wiz, isu tersebut bisa saja dieksploitasi selama bertahun-tahun. Namun, ditambahkan bahwa tidak ada indikasi peretas menggunakannya.

Dengan token ini, penyerang dapat mengambil:

email Outlook ??
Kalender ?
Pesan tim ?
dokumen SharePoint ?
file OneDrive ?
Dan banyak lagi, dari pengguna Bing manapun!

Di sini Anda dapat melihat kotak masuk pribadi saya sedang dibaca di "mesin penyerang" kami, menggunakan token Bing yang telah dieksfiltrasi: pic.twitter.com/f6aHiXYWvD

— Hillai Ben-Sasson (@hillai) 29 Maret, 2023

Dalam laporan tersebut, para peneliti merinci bagaimana mereka dapat melakukan apa yang disebut serangan "BingBang" dengan terlebih dahulu menggunakan aplikasi Microsoft yang salah konfigurasi untuk mengubah konten hasil pencarian Bing.com tertentu. Menurut grup tersebut, kesalahan ini berawal dari "konfigurasi berisiko" di AAD.

“Arsitektur Tanggung Jawab Bersama ini tidak selalu jelas bagi pengembang, dan akibatnya, kesalahan validasi dan konfigurasi cukup lazim,” tulis Wiz di postingan blog, menambahkan sekitar 25% aplikasi multi-penyewa yang dipindai grup rentan terhadap BingBang.

Setelah itu, Wiz mencoba menambahkan muatan XSS yang tidak berbahaya ke Bing.com, dan berhasil. Kelompok tersebut mengatakan jika dibiarkan, masalah ini dapat mempengaruhi jutaan orang di seluruh dunia.

“Aktor jahat dengan akses yang sama bisa saja membajak hasil pencarian paling populer dengan muatan yang sama dan membocorkan data sensitif jutaan pengguna,” kata dia. melaporkan ditambahkan. “Menurut SimilarWeb, Bing adalah situs web ke-27 yang paling banyak dikunjungi di dunia, dengan lebih dari satu miliar tampilan halaman per bulan – dengan kata lain, jutaan pengguna dapat terpapar hasil pencarian berbahaya dan pencurian data Office 365.”

Sementara itu, Microsoft merilis sebuah laporan merinci tindakannya untuk menyelesaikan masalah tersebut. Menurut perusahaan perangkat lunak, itu hanya "berdampak pada sejumlah kecil aplikasi internal kami." Meskipun demikian, ia memastikan bahwa kesalahan konfigurasi telah segera diperbaiki dan bahwa "membuat perubahan tambahan untuk mengurangi risiko kesalahan konfigurasi di masa mendatang".