Microsoft fikser "BingBang"-sårbarheten som tillater manipulering av Bing-søkeinnhold, Office 365-datatyveri
2 min. lese
Publisert på
Del denne artikkelen
Forbedre denne veiledningen
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Jeg hacket meg inn i en @Bing CMS som tillot meg å endre søkeresultater og ta over millioner av @Office365 kontoer.
Hvordan gjorde jeg det? Vel, det hele startet med et enkelt klikk @Azure...?
Dette er historien om #bingbang ? pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) Mars 29, 2023
Sikkerhetseksperter ved Wiz Research oppdaget et problem i Azure Active Directory (AAD) som snart tillot dem å manipulere innholdet på Bing.com ved å bruke en feilkonfigurert «Bing Trivia»-app og utføre et Cross-Site Scripting (XSS)-angrep. Heldigvis er problemet kalt "BingBang,” som kunne ha gitt hackere tilgang til millioner av menneskers Microsoft 365-kontodata, ble rettet umiddelbart av Microsoft etter at Wiz rapporterte om oppdagelsen.
Problemet ble åpnet av Wiz til Microsoft 31. januar og ble løst av Microsoft 2. februar, dager før programvaregiganten offisielt annonserte den nye Bing. I følge rapporten fra Wiz kunne problemet ha blitt utnyttet i årevis. Den la imidlertid til at det ikke er noen indikasjoner på at hackere brukte det.
Med dette tokenet kan en angriper hente:
Outlook e-poster ??
Kalendere?
Teams meldinger?
SharePoint-dokumenter?
OneDrive-filer?
Og mer, fra alle Bing-brukere!Her kan du se min personlige innboks leses på vår "angripermaskin", ved å bruke det eksfiltrerte Bing-tokenet: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) Mars 29, 2023
I rapporten beskrev forskerne hvordan de var i stand til å utføre det såkalte "BingBang"-angrepet ved først å bruke den feilkonfigurerte Microsoft-applikasjonen for å endre et spesifikt Bing.com-søkeresultatinnhold. I følge gruppen stammet denne feilen fra den "risikofylte konfigurasjonen" i AAD.
"Denne Shared Responsibility-arkitekturen er ikke alltid tydelig for utviklere, og som et resultat er validerings- og konfigurasjonsfeil ganske utbredt," skrev Wiz i blogginnlegget, og la til omtrent 25 % av multi-tenant-appene gruppen skannet var sårbare for BingBang.
Etter dette prøvde Wiz å legge til en harmløs XSS-nyttelast til Bing.com, noe som var vellykket. Gruppen sa at hvis problemet ikke ble løst, kunne dette ha påvirket millioner av mennesker over hele verden.
«En ondsinnet aktør med samme tilgang kunne ha kapret de mest populære søkeresultatene med samme nyttelast og lekket sensitive data fra millioner av brukere,» rapporterer la til. "Ifølge SimilarWeb er Bing det 27. mest besøkte nettstedet i verden, med over en milliard sidevisninger per måned – med andre ord, millioner av brukere kunne ha blitt utsatt for ondsinnede søkeresultater og Office 365-datatyveri."
I mellomtiden ga Microsoft ut en rådgivende detaljer om handlingene for å løse problemet. I følge programvareselskapet påvirket det bare et lite antall av våre interne applikasjoner. Ikke desto mindre forsikret den at feilkonfigurasjonen hadde blitt korrigert umiddelbart og at den "gjorde ytterligere endringer for å redusere risikoen for fremtidige feilkonfigurasjoner."
