Microsoft corrige vulnerabilidade 'BingBang' permitindo manipulação de conteúdo de pesquisa do Bing, roubo de dados do Office 365
2 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
eu invadi um @Bing CMS que me permitiu alterar os resultados da pesquisa e controlar milhões de @Office365 contas.
Como eu fiz isso? Bem, tudo começou com um simples clique em @Azure…?
Esta é a história de #bingbang ??? pic.twitter.com/9pydWvHhJs-Hillai Ben-Sasson (@hillai) 29 de março de 2023
Os especialistas em segurança da Wiz Research descobriram um problema no Azure Active Directory (AAD) que logo permitiu que eles manipulassem o conteúdo do Bing.com usando um aplicativo “Bing Trivia” mal configurado e executassem um ataque Cross-Site Scripting (XSS). Felizmente, o problema chamado “BingBangGenericName”, que poderia permitir que hackers acessassem milhões de dados de contas do Microsoft 365 de pessoas, foi corrigido imediatamente pela Microsoft depois que Wiz relatou a descoberta.
O problema foi aberto por Wiz à Microsoft em 31 de janeiro e corrigido pela Microsoft em 2 de fevereiro, dias antes de a gigante do software anunciar oficialmente o novo Bing. De acordo com o relatório da Wiz, o problema poderia ter sido explorado por anos. No entanto, acrescentou que não há indicações de que hackers o usaram.
Com esse token, um invasor pode buscar:
E-mails do Outlook??
Calendários?
Mensagens de equipes?
Documentos do SharePoint?
Arquivos do OneDrive?
E mais, de qualquer usuário do Bing!Aqui você pode ver minha caixa de entrada pessoal sendo lida em nossa “máquina invasora”, usando o token Bing exfiltrado: pic.twitter.com/f6aHiXYWvD
-Hillai Ben-Sasson (@hillai) 29 de março de 2023
No relatório, os pesquisadores detalharam como conseguiram realizar o chamado ataque “BingBang” usando primeiro o aplicativo Microsoft configurado incorretamente para modificar um conteúdo específico do resultado de pesquisa do Bing.com. Segundo o grupo, esse erro teve origem na “configuração de risco” no AAD.
“Essa arquitetura de responsabilidade compartilhada nem sempre é clara para os desenvolvedores e, como resultado, os erros de validação e configuração são bastante comuns”, escreveu Wiz na postagem do blog, acrescentando que aproximadamente 25% dos aplicativos multilocatários que o grupo examinou eram vulneráveis ao BingBang.
Depois disso, o Wiz tentou adicionar uma carga útil XSS inofensiva ao Bing.com, o que foi bem-sucedido. O grupo disse que, se não fosse resolvido, esse problema poderia ter afetado milhões de pessoas em todo o mundo.
“Um ator mal-intencionado com o mesmo acesso poderia ter sequestrado os resultados de pesquisa mais populares com a mesma carga útil e vazado os dados confidenciais de milhões de usuários”, disse o Denunciar adicionado. “De acordo com a SimilarWeb, o Bing é o 27º site mais visitado do mundo, com mais de um bilhão de visualizações de página por mês – em outras palavras, milhões de usuários podem ter sido expostos a resultados de pesquisa maliciosos e roubo de dados do Office 365.”
Enquanto isso, a Microsoft lançou um consultivo detalhando suas ações para resolver o problema. De acordo com a empresa de software, isso apenas “impactou um pequeno número de nossos aplicativos internos”. No entanto, garantiu que o erro de configuração foi corrigido imediatamente e que “fez alterações adicionais para reduzir o risco de futuros erros de configuração”.