Microsoft устраняет уязвимость BingBang, позволяющую манипулировать содержимым поиска Bing и похищать данные Office 365
2 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
я взломал @Бинг CMS, которая позволила мне изменять результаты поиска и управлять миллионами @Office365 счетов.
Как я это сделал? Ну, все началось с простого щелчка в @Azure…?
Это история #BingBang ? pic.twitter.com/9pydWvHhJs— Хиллай Бен-Сассон (@hillai) 29 марта 2023
Эксперты по безопасности из Wiz Research обнаружили проблему в Azure Active Directory (AAD), которая вскоре позволила им манипулировать контентом на Bing.com с помощью неправильно настроенного приложения «Bing Trivia» и выполнить атаку с использованием межсайтовых сценариев (XSS). К счастью, проблема под названием «БингБэнг», который мог позволить хакерам получить доступ к данным миллионов людей в учетных записях Microsoft 365, был исправлен Microsoft сразу же после того, как Wiz сообщил об обнаружении.
Проблема была открыта Wiz для Microsoft 31 января прошлого года и была исправлена Microsoft 2 февраля, за несколько дней до того, как софтверный гигант официально анонсировал новый Bing. Согласно отчету Wiz, проблема могла эксплуатироваться годами. Тем не менее, он добавил, что нет никаких признаков того, что хакеры использовали его.
С помощью этого токена злоумышленник может получить:
Электронная почта Outlook ??
Календари?
Сообщения команды?
Документы SharePoint?
Файлы OneDrive?
И многое другое от любого пользователя Bing!Здесь вы можете увидеть, как мой личный почтовый ящик читается на нашей «атакующей машине» с использованием эксфильтрованного токена Bing: pic.twitter.com/f6aHiXYWvD
— Хиллай Бен-Сассон (@hillai) 29 марта 2023
В отчете исследователи подробно описали, как они смогли выполнить так называемую атаку «BingBang», сначала используя неправильно настроенное приложение Microsoft для изменения определенного содержимого результатов поиска Bing.com. По словам группы, эта ошибка возникла из-за «рискованной конфигурации» в AAD.
«Эта архитектура общей ответственности не всегда понятна разработчикам, и в результате ошибки проверки и конфигурации довольно распространены», — написал Виз в своем блоге, добавив, что примерно 25% мультитенантных приложений, проверенных группой, были уязвимы для вируса. БингБэнг.
После этого Wiz попытался добавить на Bing.com безобидную полезную нагрузку XSS, которая оказалась успешной. Группа заявила, что если бы эта проблема не была решена, она могла бы затронуть миллионы людей во всем мире.
«Злоумышленник с тем же доступом мог захватить самые популярные результаты поиска с той же полезной нагрузкой и слить конфиденциальные данные миллионов пользователей», — говорится в сообщении. отчету добавлен. «По данным SimilarWeb, Bing занимает 27-е место среди самых посещаемых веб-сайтов в мире с более чем миллиардом просмотров страниц в месяц — другими словами, миллионы пользователей могли стать жертвами вредоносных результатов поиска и кражи данных Office 365».
Тем временем Microsoft выпустила консультативный детализировать свои действия по решению проблемы. По словам компании-разработчика программного обеспечения, это «затронуло лишь небольшое количество наших внутренних приложений». Тем не менее, он заверил, что неправильная конфигурация была немедленно исправлена и что были «внесены дополнительные изменения, чтобы снизить риск возникновения неправильных конфигураций в будущем».