מיקרוסופט מתקנת את הפגיעות 'BingBang' המאפשרת מניפולציה של תוכן חיפוש ב-Bing, גניבת נתונים של Office 365
2 דקות לקרוא
פורסם ב
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
פרצתי לתוך א @ בינג CMS שאפשר לי לשנות תוצאות חיפוש ולהשתלט על מיליוני @משרד 365 חשבונות.
איך עשיתי את זה? ובכן, הכל התחיל בלחיצה פשוטה @צבע תכלת...?
זה הסיפור של #בינגבנג ??? pic.twitter.com/9pydWvHhJs— הילאי בן ששון (@hillai) במרץ 29, 2023
מומחי אבטחה ב-Wiz Research גילו בעיה ב-Azure Active Directory (AAD) שאפשרה להם תוך זמן קצר לתפעל את התוכן ב-Bing.com באמצעות אפליקציית "Bing Trivia" שהוגדרה בצורה שגויה ולבצע התקפת Scripting חוצה אתרים (XSS). למרבה המזל, הבעיה בשם "בינגבאנג," שיכול היה לאפשר להאקרים לגשת למיליוני אנשים של חשבונות Microsoft 365, תוקן מיד על ידי מיקרוסופט לאחר ש-Wiz דיווחה על הגילוי.
הבעיה נפתחה על ידי Wiz למיקרוסופט ב-31 בינואר האחרון ותוקנה על ידי מיקרוסופט ב-2 בפברואר, ימים לפני שענקית התוכנה הכריזה רשמית על Bing החדש. על פי הדיווח של Wiz, ניתן היה לנצל את הנושא במשך שנים. עם זאת, הוא הוסיף כי אין אינדיקציות שהאקרים השתמשו בו.
עם האסימון הזה, תוקף יכול להביא:
מיילים של Outlook ??
לוחות שנה?
הודעות של צוותים?
מסמכי SharePoint?
קבצי OneDrive?
ועוד, מכל משתמש בינג!כאן אתה יכול לראות את תיבת הדואר הנכנס האישית שלי נקראת ב"מכונת התוקפים" שלנו, באמצעות אסימון Bing שהוחלף: pic.twitter.com/f6aHiXYWvD
— הילאי בן ששון (@hillai) במרץ 29, 2023
בדו"ח, החוקרים פירטו כיצד הם הצליחו לבצע את מה שמכונה "BingBang" על ידי שימוש תחילה באפליקציית Microsoft המוגדרת שגויה כדי לשנות תוכן ספציפי של תוצאת חיפוש של Bing.com. לטענת הקבוצה, טעות זו מקורה ב"תצורה המסוכנת" ב-AAD.
"ארכיטקטורת האחריות המשותפת הזו לא תמיד ברורה למפתחים, וכתוצאה מכך, טעויות אימות ותצורה נפוצות למדי", כתב Wiz בפוסט בבלוג, והוסיף כ-25% מהאפליקציות מרובות הדיירים שהקבוצה סרקה היו פגיעות ל- בינגבאנג.
לאחר מכן, Wiz ניסה להוסיף מטען XSS לא מזיק ל- Bing.com, וזה הצליח. הקבוצה אמרה שאם לא טופלו, הבעיה הזו הייתה יכולה להשפיע על מיליוני אנשים ברחבי העולם.
"שחקן זדוני עם אותה גישה יכול היה לחטוף את תוצאות החיפוש הפופולריות ביותר עם אותו מטען ולהדליף את הנתונים הרגישים של מיליוני משתמשים", לדווח הוסיף. "לפי SimilarWeb, Bing הוא האתר ה-27 המבוקרים ביותר בעולם, עם למעלה ממיליארד צפיות בדפים בחודש - במילים אחרות, מיליוני משתמשים היו עלולים להיחשף לתוצאות חיפוש זדוניות ולגניבת נתונים של Office 365."
בינתיים, מיקרוסופט פרסמה א ייעוץ פירוט פעולותיו לפתרון הבעיה. לדברי חברת התוכנה, זה "השפיע רק על מספר קטן מהיישומים הפנימיים שלנו". עם זאת, היא הבטיחה שהתצורה השגויה תוקנה באופן מיידי וכי היא "עשתה שינויים נוספים כדי להפחית את הסיכון לתצורות מוטעות בעתיד".
