マイクロソフト、「BingBang」の脆弱性を修正し、Bing の検索コンテンツの操作や Office 365 のデータ盗難が可能に
2分。 読んだ
上で公開
この記事を共有する
このガイドを改善する
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
私はにハッキングしました @ビング 検索結果を変更し、数百万件を引き継ぐことを可能にした CMS @ Office365 アカウント。
どうやってそれをしたのですか? まあ、すべてはクリックするだけで始まりました あずれ…?
これはの話です #ビンバン ??? pic.twitter.com/9pydWvHhJs— ヒライ・ベン・サッソン (@hillai) 2023 年 3 月 29 日
Wiz Research のセキュリティ専門家は、Azure Active Directory (AAD) に問題を発見しました。この問題により、Bing.com のコンテンツが誤って構成された "Bing Trivia" アプリを使用して操作され、クロスサイト スクリプティング (XSS) 攻撃を実行できるようになりました。 幸いなことに、「ビンバンハッカーが何百万人もの Microsoft 365 アカウント データにアクセスすることを可能にする可能性があった、Wiz が発見を報告した直後に Microsoft によって修正されました。
この問題は、昨年 31 月 2 日に Wiz から Microsoft に公開され、ソフトウェアの巨人が新しい Bing を正式に発表する数日前の XNUMX 月 XNUMX 日に Microsoft によって修正されました。 Wiz のレポートによると、この問題は何年にもわたって悪用されていた可能性があります。 ただし、ハッカーがそれを使用した兆候はないと付け加えました。
このトークンを使用して、攻撃者は以下を取得できます。
Outlook メール ??
カレンダー ?
チーム メッセージ ?
SharePoint ドキュメント ?
OneDrive ファイル?
さらに、すべての Bing ユーザーから!ここでは、盗み出された Bing トークンを使用して、「攻撃者のマシン」で私の個人的な受信トレイが読み取られていることがわかります。 pic.twitter.com/f6aHiXYWvD
— ヒライ・ベン・サッソン (@hillai) 2023 年 3 月 29 日
レポートでは、研究者は、最初に不適切に構成された Microsoft アプリケーションを使用して特定の Bing.com 検索結果コンテンツを変更することにより、いわゆる「BingBang」攻撃を実行できた方法を詳しく説明しています。 グループによると、この間違いは AAD の「危険な構成」に起因しているとのことです。
「この共有責任アーキテクチャは開発者にとって常に明確であるとは限らず、その結果、検証と構成のミスが非常に一般的です」と Wiz はブログ投稿に書いており、グループがスキャンしたマルチテナント アプリの約 25% が脆弱性に対して脆弱であると付け加えました。ビンバン。
この後、Wiz は無害な XSS ペイロードを Bing.com に追加しようとしましたが、成功しました。 このグループは、この問題に対処しなければ、世界中の何百万人もの人々に影響を与える可能性があると述べました.
「同じアクセス権を持つ悪意のあるアクターは、同じペイロードで最も人気のある検索結果を乗っ取り、何百万人ものユーザーの機密データを漏らした可能性があります」 レポート 追加した。 「SimilarWeb によると、Bing は世界で 27 番目にアクセス数の多い Web サイトであり、365 か月あたりのページビュー数は XNUMX 億回を超えています。つまり、何百万人ものユーザーが悪意のある検索結果や Office XNUMX のデータ盗難にさらされた可能性があります。」
そんな中、マイクロソフトが発表した アドバイザリー 問題を解決するためのアクションの詳細。 ソフトウェア会社によると、それは「少数の社内アプリケーションに影響を与えた」だけでした。 それにもかかわらず、構成ミスはすぐに修正され、「将来の構成ミスのリスクを軽減するために追加の変更を加えた」ことを保証しました。
