Microsoft corregge la vulnerabilità di "BingBang" che consente la manipolazione del contenuto della ricerca Bing e il furto di dati di Office 365

Ho hackerato un file @ Bing CMS che mi ha permesso di modificare i risultati di ricerca e rilevare milioni di @Ufficio 365 conti.
Come ho fatto? Bene, tutto è iniziato con un semplice clic @Azzurro...?
Questa è la storia di #BingBang ? pic.twitter.com/9pydWvHhJs

— Hillai Ben Sasson (@hillai) 29 Marzo 2023

Gli esperti di sicurezza di Wiz Research hanno scoperto un problema in Azure Active Directory (AAD) che ha presto consentito loro di manipolare il contenuto su Bing.com utilizzando un'app "Bing Trivia" configurata in modo errato ed eseguire un attacco Cross-Site Scripting (XSS). Fortunatamente, il problema denominato "BingBang", che avrebbe potuto consentire agli hacker di accedere ai dati dell'account Microsoft 365 di milioni di persone, è stato risolto immediatamente da Microsoft dopo che Wiz ha segnalato la scoperta.

Il problema è stato aperto da Wiz a Microsoft lo scorso 31 gennaio ed è stato risolto da Microsoft il 2 febbraio, giorni prima che il colosso del software annunciasse ufficialmente il nuovo Bing. Secondo il report di Wiz, la questione potrebbe essere stata sfruttata per anni. Tuttavia, ha aggiunto che non ci sono indicazioni che gli hacker lo abbiano utilizzato.

Con questo token, un utente malintenzionato potrebbe recuperare:

E-mail di Outlook ??
Calendari?
Messaggi di squadra?
Documenti SharePoint?
File di OneDrive?
E altro ancora, da qualsiasi utente Bing!

Qui puoi vedere la mia casella di posta personale che viene letta sulla nostra "macchina attaccante", utilizzando il token Bing esfiltrato: pic.twitter.com/f6aHiXYWvD

— Hillai Ben Sasson (@hillai) 29 Marzo 2023

Nel rapporto, i ricercatori hanno spiegato in dettaglio come sono stati in grado di eseguire il cosiddetto attacco "BingBang" utilizzando prima l'applicazione Microsoft configurata in modo errato per modificare uno specifico contenuto dei risultati di ricerca di Bing.com. Secondo il gruppo, questo errore ha avuto origine dalla "configurazione rischiosa" in AAD.

"Questa architettura di responsabilità condivisa non è sempre chiara per gli sviluppatori e, di conseguenza, gli errori di convalida e configurazione sono piuttosto diffusi", ha scritto Wiz nel post sul blog, aggiungendo che circa il 25% delle app multi-tenant scansionate dal gruppo erano vulnerabili al BingBang.

Successivamente, Wiz ha provato ad aggiungere un payload XSS innocuo a Bing.com, con successo. Il gruppo ha affermato che se non fosse stato affrontato, questo problema avrebbe potuto colpire milioni di persone in tutto il mondo.

"Un attore malintenzionato con lo stesso accesso potrebbe aver dirottato i risultati di ricerca più popolari con lo stesso payload e fatto trapelare i dati sensibili di milioni di utenti", il rapporto aggiunto. "Secondo SimilarWeb, Bing è il 27° sito Web più visitato al mondo, con oltre un miliardo di pagine visualizzate al mese, in altre parole, milioni di utenti potrebbero essere stati esposti a risultati di ricerca dannosi e al furto di dati di Office 365".

Nel frattempo, Microsoft ha rilasciato un file consultivo dettagliando le sue azioni per risolvere il problema. Secondo la società di software, ha "influito solo su un piccolo numero delle nostre applicazioni interne". Tuttavia, ha assicurato che l'errata configurazione era stata corretta immediatamente e che "ha apportato ulteriori modifiche per ridurre il rischio di future configurazioni errate".