Microsoft odpravlja ranljivost 'BingBang', ki omogoča manipulacijo vsebine iskanja Bing, krajo podatkov Office 365
2 min. prebrati
Objavljeno dne
Dajte v skupno rabo ta članek
Izboljšajte ta vodnik
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
Vdrl sem v a @Bing CMS, ki mi je omogočil spreminjanje rezultatov iskanja in prevzem milijonov @Office365 račune.
Kako mi je uspelo? No, vse se je začelo s preprostim klikom @Azure...?
To je zgodba o #bingbang ? pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) Marec 29, 2023
Varnostni strokovnjaki pri Wiz Research so odkrili težavo v Azure Active Directory (AAD), ki jim je kmalu omogočila manipuliranje z vsebino na Bing.com z uporabo napačno konfigurirane aplikacije »Bing Trivia« in izvedbo napada s skriptiranjem med spletnimi mesti (XSS). Na srečo je težava z imenom "BingBang,« ki bi lahko hekerjem omogočil dostop do podatkov o računih Microsoft 365 milijonov ljudi, je Microsoft takoj popravil, potem ko je Wiz poročal o odkritju.
Težavo je Wiz odprl Microsoftu lani 31. januarja, Microsoft pa jo je odpravil 2. februarja, nekaj dni preden je programski velikan uradno objavil novi Bing. Po poročilu Wiza bi lahko težavo izkoriščali leta. Vendar pa je dodal, da ni znakov, da bi ga hekerji uporabili.
S tem žetonom lahko napadalec pridobi:
Outlookova e-pošta??
Koledarji?
Sporočila ekip?
SharePoint dokumenti?
Datoteke OneDrive?
In še več, od katerega koli uporabnika storitve Bing!Tukaj lahko vidite mojo osebno mapo »Prejeto«, ki jo bere naš »napadalski stroj« z uporabo eksfiltriranega žetona Bing: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) Marec 29, 2023
V poročilu so raziskovalci podrobno opisali, kako so lahko izvedli tako imenovani napad »BingBang« tako, da so najprej uporabili napačno konfigurirano Microsoftovo aplikacijo za spreminjanje določene vsebine rezultatov iskanja Bing.com. Po mnenju skupine je ta napaka nastala zaradi "tvegane konfiguracije" v AAD.
»Razvijalcem ta arhitektura deljene odgovornosti ni vedno jasna in posledično so napake pri preverjanju in konfiguraciji precej razširjene,« je zapisal Wiz v objavi v spletnem dnevniku in dodal, da je približno 25 % aplikacij z več najemniki, ki jih je skupina pregledala, ranljivih za BingBang.
Po tem je Wiz poskušal Bing.com dodati neškodljivo koristno vsebino XSS, kar je bilo uspešno. Skupina je dejala, da bi lahko ta problem, če ga ne bi obravnavali, prizadel milijone ljudi po vsem svetu.
"Zlonamerni igralec z enakim dostopom bi lahko ugrabil najbolj priljubljene rezultate iskanja z enakim tovorom in izdal občutljive podatke milijonov uporabnikov," poročilo dodano. »Po podatkih SimilarWeb je Bing 27. najbolj obiskano spletno mesto na svetu z več kot milijardo ogledov strani na mesec – z drugimi besedami, milijoni uporabnikov bi lahko bili izpostavljeni zlonamernim rezultatom iskanja in kraji podatkov Office 365.«
Medtem je Microsoft izdal svetovanje s podrobnostmi svojih ukrepov za rešitev težave. Po navedbah podjetja za programsko opremo je "vplivalo le na majhno število naših internih aplikacij." Kljub temu je zagotovil, da je bila napačna konfiguracija takoj popravljena in da je "naredil dodatne spremembe za zmanjšanje tveganja prihodnjih napačnih konfiguracij."
