Microsoft repareert 'BingBang'-kwetsbaarheid waardoor Bing-zoekinhoud kan worden gemanipuleerd, Office 365-gegevensdiefstal

Ik heb ingebroken in een @Bing CMS waarmee ik zoekresultaten kon wijzigen en miljoenen kon overnemen @Office 365 accounts.
Hoe heb ik het gedaan? Nou, het begon allemaal met een simpele klik @Azure…?
Dit is het verhaal van #bingbang ??? pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 29 maart 2023

Beveiligingsexperts van Wiz Research ontdekten een probleem in Azure Active Directory (AAD) waardoor ze al snel de inhoud op Bing.com konden manipuleren met een verkeerd geconfigureerde "Bing Trivia"-app en een Cross-Site Scripting (XSS)-aanval konden uitvoeren. Gelukkig is het probleem met de naam "BingBang”, waardoor hackers toegang hadden kunnen krijgen tot de Microsoft 365-accountgegevens van miljoenen mensen, werd onmiddellijk door Microsoft verholpen nadat Wiz de ontdekking had gemeld.

Het probleem werd op 31 januari door Wiz voor Microsoft geopend en werd op 2 februari door Microsoft opgelost, dagen voordat de softwaregigant officieel de nieuwe Bing aankondigde. Volgens het rapport van Wiz had het probleem jarenlang kunnen worden uitgebuit. Het voegde er echter aan toe dat er geen aanwijzingen zijn dat hackers het hebben gebruikt.

Met dit token kan een aanvaller het volgende ophalen:

Outlook-e-mails ??
Kalenders?
Teams berichten?
SharePoint-documenten?
OneDrive-bestanden?
En meer, van elke Bing-gebruiker!

Hier kun je zien hoe mijn persoonlijke inbox wordt gelezen op onze "aanvallermachine", met behulp van het geëxfiltreerde Bing-token: pic.twitter.com/f6aHiXYWvD

— Hillai Ben-Sasson (@hillai) 29 maart 2023

In het rapport beschrijven de onderzoekers hoe ze de zogenaamde "BingBang"-aanval konden uitvoeren door eerst de verkeerd geconfigureerde Microsoft-applicatie te gebruiken om de inhoud van een specifiek Bing.com-zoekresultaat te wijzigen. Volgens de groep kwam deze fout voort uit de "risicovolle configuratie" in AAD.

"Deze Shared Responsibility-architectuur is niet altijd duidelijk voor ontwikkelaars, en als gevolg daarvan komen validatie- en configuratiefouten vrij vaak voor", schreef Wiz in de blogpost, eraan toevoegend dat ongeveer 25% van de multi-tenant-apps die de groep scande, kwetsbaar was voor de BingBang.

Hierna probeerde Wiz een onschadelijke XSS-payload toe te voegen aan Bing.com, wat succesvol was. De groep zei dat als dit probleem niet werd aangepakt, dit probleem miljoenen mensen over de hele wereld had kunnen treffen.

"Een kwaadwillende met dezelfde toegang had de meest populaire zoekresultaten met dezelfde payload kunnen kapen en de gevoelige gegevens van miljoenen gebruikers kunnen lekken", aldus het rapport. verslag toegevoegd. "Volgens CompareWeb is Bing de 27e meest bezochte website ter wereld, met meer dan een miljard pageviews per maand - met andere woorden, miljoenen gebruikers kunnen zijn blootgesteld aan kwaadaardige zoekresultaten en Office 365-gegevensdiefstal."

Ondertussen heeft Microsoft een adviserend met gedetailleerde informatie over de acties om het probleem op te lossen. Volgens het softwarebedrijf had het slechts "een klein aantal van onze interne applicaties beïnvloed". Desalniettemin verzekerde het bedrijf dat de verkeerde configuratie onmiddellijk was gecorrigeerd en dat het "aanvullende wijzigingen had aangebracht om het risico op toekomstige verkeerde configuraties te verkleinen".