Microsoft naprawia lukę w zabezpieczeniach „BingBang”, umożliwiającą manipulację zawartością wyszukiwania Bing, kradzież danych Office 365
2 minuta. czytać
Opublikowany
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
włamałem się do a @Bing CMS, który pozwolił mi zmienić wyniki wyszukiwania i przejąć miliony @Biuro365 Konta.
Jak to zrobiłem? Cóż, wszystko zaczęło się od prostego kliknięcia @Lazur…?
To jest historia #bingbang ? pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) 29 marca 2023 r.
Eksperci ds. bezpieczeństwa z Wiz Research wykryli problem w usłudze Azure Active Directory (AAD), który wkrótce umożliwił im manipulowanie zawartością witryny Bing.com za pomocą źle skonfigurowanej aplikacji „Bing Trivia” i przeprowadzenie ataku typu Cross-Site Scripting (XSS). Na szczęście problem o nazwie „BingBang”, który mógł umożliwić hakerom dostęp do danych milionów kont Microsoft 365, został naprawiony przez Microsoft natychmiast po tym, jak Wiz zgłosił odkrycie.
Problem został otwarty przez firmę Wiz dla firmy Microsoft 31 stycznia i został naprawiony przez firmę Microsoft 2 lutego, na kilka dni przed oficjalnym ogłoszeniem przez giganta oprogramowania nowego Bing. Według raportu firmy Wiz problem mógł być wykorzystywany przez lata. Dodał jednak, że nic nie wskazuje na to, by używali go hakerzy.
Za pomocą tego tokena osoba atakująca może pobrać:
e-maile z Outlooka?
kalendarze?
Wiadomości zespołowe?
Dokumenty SharePointa?
Pliki OneDrive?
I więcej, od dowolnego użytkownika Bing!Tutaj możesz zobaczyć, jak moja osobista skrzynka odbiorcza jest odczytywana na naszej „maszynie atakującej” przy użyciu eksfiltrowanego tokena Bing: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) 29 marca 2023 r.
W raporcie badacze szczegółowo opisali, w jaki sposób byli w stanie przeprowadzić tak zwany atak „BingBang”, najpierw używając źle skonfigurowanej aplikacji Microsoft do zmodyfikowania określonej zawartości wyników wyszukiwania Bing.com. Według grupy błąd ten wynikał z „ryzykownej konfiguracji” w AAD.
„Ta architektura współdzielonej odpowiedzialności nie zawsze jest jasna dla programistów, w wyniku czego błędy sprawdzania poprawności i konfiguracji są dość powszechne”, napisał Wiz w poście na blogu, dodając, że około 25% aplikacji wielodostępnych, które przeskanowała grupa, było podatnych na atak. BingBang.
Następnie Wiz próbował dodać nieszkodliwy ładunek XSS do Bing.com, co zakończyło się sukcesem. Grupa stwierdziła, że jeśli problem ten nie zostanie rozwiązany, może dotknąć miliony ludzi na całym świecie.
„Złośliwy aktor z takim samym dostępem mógł przejąć najpopularniejsze wyniki wyszukiwania za pomocą tego samego ładunku i ujawnić poufne dane milionów użytkowników”, raport dodany. „Według serwisu PodobneWeb, Bing jest 27. najczęściej odwiedzaną witryną na świecie, z ponad miliardem odsłon miesięcznie – innymi słowy, miliony użytkowników mogło być narażonych na złośliwe wyniki wyszukiwania i kradzież danych usługi Office 365”.
W międzyczasie Microsoft wydał doradczy wyszczególniając działania podjęte w celu rozwiązania problemu. Według firmy programistycznej „wpłynęło to tylko na niewielką liczbę naszych wewnętrznych aplikacji”. Niemniej jednak zapewnił, że błędna konfiguracja została natychmiast poprawiona i że „wprowadził dodatkowe zmiany, aby zmniejszyć ryzyko przyszłych błędnych konfiguracji”.
