Microsoft แก้ไขช่องโหว่ 'BingBang' ทำให้ Bing จัดการเนื้อหาการค้นหา, ขโมยข้อมูล Office 365
2 นาที. อ่าน
เผยแพร่เมื่อ
แชร์บทความนี้
ปรับปรุงคู่มือนี้
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
ฉันแฮ็กเข้าไปใน @ บิง CMS ที่อนุญาตให้ฉันแก้ไขผลการค้นหาและรับมากกว่าล้านรายการ @Office365 บัญชี
ฉันทำได้อย่างไร ทุกอย่างเริ่มต้นด้วยการคลิกง่ายๆ @สีฟ้า…?
นี่คือเรื่องราวของ #บิงแบง ? pic.twitter.com/9pydWvHhJs— ฮิลไล เบน-ซาซง (@hillai) March 29, 2023
ผู้เชี่ยวชาญด้านความปลอดภัยที่ Wiz Research ค้นพบปัญหาใน Azure Active Directory (AAD) ซึ่งทำให้พวกเขาสามารถจัดการเนื้อหาบน Bing.com โดยใช้แอป “Bing Trivia” ที่กำหนดค่าไม่ถูกต้อง และทำการโจมตีแบบ Cross-Site Scripting (XSS) โชคดีที่ปัญหาชื่อ “บิงแบงซึ่งอาจอนุญาตให้แฮ็กเกอร์เข้าถึงข้อมูลบัญชี Microsoft 365 ของผู้คนนับล้าน ได้รับการแก้ไขทันทีโดย Microsoft หลังจาก Wiz รายงานการค้นพบ
Wiz ได้เปิดปัญหานี้ให้กับ Microsoft เมื่อวันที่ 31 มกราคมที่ผ่านมา และได้รับการแก้ไขโดย Microsoft ในวันที่ 2 กุมภาพันธ์ ซึ่งเป็นวันก่อนที่ยักษ์ใหญ่ด้านซอฟต์แวร์จะประกาศเปิดตัว Bing ใหม่อย่างเป็นทางการ ตามรายงานจาก Wiz ปัญหานี้อาจถูกนำไปใช้เป็นเวลาหลายปี อย่างไรก็ตาม มันเสริมว่าไม่มีสัญญาณบ่งชี้ว่าแฮ็กเกอร์ใช้มัน
ด้วยโทเค็นนี้ ผู้โจมตีสามารถดึง:
อีเมล Outlook ??
ปฏิทิน ?
ข้อความของทีม ?
เอกสาร SharePoint ?
ไฟล์ OneDrive ?
และอีกมากมายจากผู้ใช้ Bing!ที่นี่คุณสามารถเห็นกล่องจดหมายส่วนตัวของฉันถูกอ่านบน “เครื่องโจมตี” ของเรา โดยใช้โทเค็น Bing ที่ถูกกรองออก: pic.twitter.com/f6aHiXYWvD
— ฮิลไล เบน-ซาซง (@hillai) March 29, 2023
ในรายงาน นักวิจัยได้ให้รายละเอียดว่าพวกเขาสามารถดำเนินการโจมตีที่เรียกว่า "BingBang" ได้อย่างไร โดยขั้นแรกให้ใช้แอปพลิเคชัน Microsoft ที่กำหนดค่าผิดพลาดเพื่อแก้ไขเนื้อหาผลการค้นหา Bing.com ที่เฉพาะเจาะจง ความผิดพลาดนี้เกิดจาก "การกำหนดค่าที่มีความเสี่ยง" ใน AAD
“สถาปัตยกรรมความรับผิดชอบร่วมกันนี้ไม่ชัดเจนเสมอไปสำหรับนักพัฒนา และผลที่ตามมาคือ ข้อผิดพลาดในการตรวจสอบความถูกต้องและการกำหนดค่าค่อนข้างแพร่หลาย” Wiz เขียนในบล็อกโพสต์ โดยเสริมว่าประมาณ 25% ของแอปหลายผู้เช่าที่กลุ่มสแกนมีความเสี่ยงต่อ บิงแบง.
หลังจากนี้ Wiz พยายามเพิ่มเพย์โหลด XSS ที่ไม่เป็นอันตรายไปยัง Bing.com ซึ่งประสบความสำเร็จ กลุ่มกล่าวว่าหากไม่ได้รับการแก้ไข ปัญหานี้อาจส่งผลกระทบต่อผู้คนหลายล้านคนทั่วโลก
“ผู้ไม่ประสงค์ดีที่มีการเข้าถึงแบบเดียวกันสามารถแย่งชิงผลการค้นหาที่ได้รับความนิยมสูงสุดด้วยเพย์โหลดเดียวกัน และทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้หลายล้านคนรั่วไหล” รายงาน เพิ่ม “จากข้อมูลของเว็บที่คล้ายกัน Bing เป็นเว็บไซต์ที่มีผู้เข้าชมมากเป็นอันดับที่ 27 ของโลก โดยมีการดูหน้าเว็บมากกว่าพันล้านหน้าต่อเดือน กล่าวคือ ผู้ใช้หลายล้านคนอาจได้รับผลการค้นหาที่เป็นอันตรายและการขโมยข้อมูล Office 365”
ในขณะเดียวกัน Microsoft ได้เปิดตัวไฟล์ ที่ปรึกษา รายละเอียดการดำเนินการเพื่อแก้ไขปัญหา ตามที่บริษัทซอฟต์แวร์ระบุว่า "ส่งผลกระทบต่อแอปพลิเคชันภายในของเราเพียงเล็กน้อยเท่านั้น" อย่างไรก็ตาม มั่นใจได้ว่าการกำหนดค่าผิดพลาดได้รับการแก้ไขทันที และ "ทำการเปลี่ยนแปลงเพิ่มเติมเพื่อลดความเสี่ยงของการกำหนดค่าผิดพลาดในอนาคต"
