Microsoft åtgärdar "BingBang"-sårbarheten som tillåter manipulering av Bing-sökinnehåll, Office 365-datastöld
2 min. läsa
Publicerad den
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Jag hackade in en @Bing CMS som gjorde det möjligt för mig att ändra sökresultat och ta över miljontals @Kontor 365 konton.
Hur gjorde jag det? Tja, allt började med ett enkelt klick @Azurblå...?
Detta är historien om #bingbang ??? pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) Mars 29, 2023
Säkerhetsexperter på Wiz Research upptäckte ett problem i Azure Active Directory (AAD) som snart gjorde det möjligt för dem att manipulera innehållet på Bing.com med en felkonfigurerad "Bing Trivia"-app och utföra en Cross-Site Scripting (XSS)-attack. Lyckligtvis är problemet med namnet "BingBang”, som kunde ha tillåtit hackare att komma åt miljontals människors Microsoft 365-kontodata, fixades omedelbart av Microsoft efter att Wiz rapporterade upptäckten.
Problemet öppnades av Wiz för Microsoft den 31 januari och fixades av Microsoft den 2 februari, dagar innan mjukvarujätten officiellt tillkännagav den nya Bing. Enligt rapporten från Wiz kunde problemet ha utnyttjats i flera år. Det tillade dock att det inte finns några indikationer på att hackare använde det.
Med denna token kan en angripare hämta:
Outlook e-post ??
Kalendrar?
Teams meddelanden?
SharePoint-dokument?
OneDrive-filer?
Och mer, från alla Bing-användare!Här kan du se min personliga inkorg läsas på vår "anfallsmaskin", med hjälp av den exfiltrerade Bing-token: pic.twitter.com/f6aHiXYWvD
— Hillai Ben-Sasson (@hillai) Mars 29, 2023
I rapporten beskrev forskarna hur de kunde utföra den så kallade "BingBang"-attacken genom att först använda den felkonfigurerade Microsoft-applikationen för att ändra ett specifikt Bing.com-sökresultatinnehåll. Enligt gruppen härrörde detta misstag från den "riskiga konfigurationen" i AAD.
"Denna Shared Responsibility-arkitektur är inte alltid tydlig för utvecklare, och som ett resultat är validerings- och konfigurationsmisstag ganska utbredda," skrev Wiz i blogginlägget och lade till ungefär 25 % av apparna med flera hyresgäster som gruppen skannade var sårbara för BingBang.
Efter detta försökte Wiz lägga till en ofarlig XSS-nyttolast till Bing.com, vilket lyckades. Gruppen sa att om det inte åtgärdats kunde detta problem ha påverkat miljontals människor över hela världen.
"En illvillig aktör med samma åtkomst kunde ha kapat de mest populära sökresultaten med samma nyttolast och läckt känslig information från miljontals användare", rapport Lagt till. "Enligt SimilarWeb är Bing den 27:e mest besökta webbplatsen i världen, med över en miljard sidvisningar per månad – med andra ord, miljontals användare kunde ha blivit utsatta för skadliga sökresultat och Office 365-datastöld."
Under tiden släppte Microsoft en rådgivande detaljerade sina åtgärder för att lösa problemet. Enligt mjukvaruföretaget påverkade det bara ett litet antal av våra interna applikationer. Icke desto mindre försäkrade den att felkonfigurationen hade korrigerats omedelbart och att den "gjorde ytterligare ändringar för att minska risken för framtida felkonfigurationer."