Microsoft opravuje zraniteľnosť „BingBang“, ktorá umožňuje manipuláciu s obsahom vyhľadávania Bing, krádež údajov v Office 365
2 min. čítať
Publikované dňa
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Nabúral som sa do a @Bing CMS, ktorý mi umožnil meniť výsledky vyhľadávania a preberať ich milióny @Office365 Účty.
ako sa mi to podarilo? Všetko to začalo jednoduchým kliknutím @Azure…?
Toto je príbeh #Veľký tresk ? pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) March 29, 2023
Bezpečnostní experti z Wiz Research objavili problém v Azure Active Directory (AAD), ktorý im čoskoro umožnil manipulovať s obsahom na Bing.com pomocou nesprávne nakonfigurovanej aplikácie „Bing Trivia“ a vykonať útok Cross-Site Scripting (XSS). Našťastie problém s názvom „Veľký tresk“, ktorý mohol hackerom umožniť prístup k údajom o účtoch Microsoft 365 miliónov ľudí, bol Microsoft opravený okamžite po tom, čo Wiz nahlásil objav.
Tento problém otvoril Wiz Microsoftu vlani 31. januára a Microsoft ho vyriešil 2. februára, niekoľko dní predtým, ako softvérový gigant oficiálne oznámil nový Bing. Podľa správy od spoločnosti Wiz sa problém mohol zneužívať roky. Dodal však, že neexistujú žiadne náznaky, že by ho použili hackeri.
Pomocou tohto tokenu by útočník mohol získať:
Outlook emaily??
Kalendáre?
Správy tímov?
SharePointové dokumenty?
súbory OneDrive?
A ešte viac, od akéhokoľvek používateľa Bing!Tu môžete vidieť, ako sa moja osobná schránka číta na našom „útočnom stroji“ pomocou exfiltrovaného tokenu Bing: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) March 29, 2023
V správe výskumníci podrobne opísali, ako boli schopní vykonať takzvaný útok „BingBang“ tým, že najprv použili nesprávne nakonfigurovanú aplikáciu spoločnosti Microsoft na úpravu konkrétneho obsahu výsledkov vyhľadávania Bing.com. Podľa skupiny táto chyba pochádza z „rizikovej konfigurácie“ v AAD.
„Táto architektúra zdieľanej zodpovednosti nie je pre vývojárov vždy jasná, v dôsledku čoho sú chyby overovania a konfigurácie dosť rozšírené,“ napísal Wiz v blogovom príspevku a dodal, že približne 25 % aplikácií pre viacerých nájomníkov, ktoré skupina skontrolovala, bolo zraniteľných voči Veľký tresk.
Potom sa Wiz pokúsil pridať neškodný obsah XSS na Bing.com, čo bolo úspešné. Skupina uviedla, že ak by sa tento problém neriešil, mohol by postihnúť milióny ľudí na celom svete.
„Zlomyslný aktér s rovnakým prístupom mohol uniesť najobľúbenejšie výsledky vyhľadávania s rovnakým zaťažením a uniknúť citlivé údaje miliónov používateľov,“ správy pridané. „Podľa SimilarWeb je Bing 27. najnavštevovanejšou webovou stránkou na svete s viac ako miliardou zobrazení stránok za mesiac – inými slovami, milióny používateľov mohli byť vystavené škodlivým výsledkom vyhľadávania a krádeži údajov Office 365.“
Medzitým Microsoft vydal poradný podrobne popisuje svoje kroky na vyriešenie problému. Podľa softvérovej spoločnosti to „ovplyvnilo iba malý počet našich interných aplikácií“. Napriek tomu uistil, že nesprávna konfigurácia bola okamžite opravená a že „vykonala ďalšie zmeny na zníženie rizika budúcich nesprávnych konfigurácií“.