Microsoft remediază vulnerabilitatea „BingBang”, permițând manipularea conținutului de căutare Bing, furtul de date Office 365
2 min. citit
Publicat în data de
Distribuiți acest articol
Îmbunătățiți acest ghid
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Am piratat un @Bing CMS care mi-a permis să modific rezultatele căutării și să preia milioane de @Office365 conturilor.
Cum am făcut-o? Ei bine, totul a început cu un simplu clic @Azur...?
Aceasta este povestea #bingbang ??? pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) Martie 29, 2023
Experții în securitate de la Wiz Research au descoperit o problemă în Azure Active Directory (AAD) care le-a permis în curând să manipuleze conținutul de pe Bing.com folosind o aplicație „Bing Trivia” configurată greșit și să efectueze un atac Cross-Site Scripting (XSS). Din fericire, problema numită „BingBang”, care ar fi putut permite hackerilor să acceseze datele contului Microsoft 365 a milioane de oameni, a fost remediat imediat de Microsoft după ce Wiz a raportat descoperirea.
Problema a fost deschisă de Wiz către Microsoft pe 31 ianuarie și a fost rezolvată de Microsoft pe 2 februarie, cu câteva zile înainte ca gigantul de software să anunțe oficial noul Bing. Potrivit raportului de la Wiz, problema ar fi putut fi exploatată de ani de zile. Cu toate acestea, a adăugat că nu există indicii că hackerii l-au folosit.
Cu acest simbol, un atacator ar putea prelua:
e-mailuri Outlook ??
Calendare?
Mesajele echipelor?
documente SharePoint?
Fișiere OneDrive?
Și mai mult, de la orice utilizator Bing!Aici puteți vedea căsuța mea de e-mail personală fiind citită pe „mașina noastră de atacator”, folosind simbolul Bing exfiltrat: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) Martie 29, 2023
În raport, cercetătorii au detaliat modul în care au reușit să efectueze așa-numitul atac „BingBang”, folosind mai întâi aplicația Microsoft configurată greșit pentru a modifica un anumit conținut de rezultat al căutării Bing.com. Potrivit grupului, această greșeală a provenit din „configurația riscantă” din AAD.
„Această arhitectură de responsabilitate partajată nu este întotdeauna clară pentru dezvoltatori și, în consecință, greșelile de validare și configurare sunt destul de răspândite”, a scris Wiz în postarea pe blog, adăugând că aproximativ 25% dintre aplicațiile multi-chiriași pe care grupul le-a scanat erau vulnerabile la BingBang.
După aceasta, Wiz a încercat să adauge o încărcare utilă XSS inofensivă la Bing.com, ceea ce a avut succes. Grupul a spus că dacă nu ar fi fost abordată, această problemă ar fi putut afecta milioane de oameni din întreaga lume.
„Un actor rău intenționat cu același acces ar fi putut deturna cele mai populare rezultate de căutare cu aceeași sarcină utilă și ar fi putut scurge datele sensibile a milioane de utilizatori”, raportează adăugat. „Potrivit SimilarWeb, Bing este al 27-lea cel mai vizitat site din lume, cu peste un miliard de afișări de pagină pe lună – cu alte cuvinte, milioane de utilizatori ar fi putut fi expuși la rezultate de căutare rău intenționate și la furtul de date Office 365.”
Între timp, Microsoft a lansat un consultativ detaliind acțiunile sale pentru a rezolva problema. Potrivit companiei de software, aceasta „a afectat doar un număr mic din aplicațiile noastre interne”. Cu toate acestea, a asigurat că configurația greșită a fost corectată imediat și că „a făcut modificări suplimentare pentru a reduce riscul unor viitoare configurări greșite”.
