Microsoft, Bing arama içeriği manipülasyonuna, Office 365 veri hırsızlığına izin veren 'BingBang' güvenlik açığını düzeltir

hackledim @Bing Arama sonuçlarını değiştirmeme ve milyonlarca kişiyi devralmama izin veren CMS @Ofis 365 hesaplar.
Nasıl yaptım? Her şey basit bir tıklamayla başladı @Azure...?
Bu hikayesi #bingbang ? pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 29 Mart, 2023

Wiz Research'teki güvenlik uzmanları, Azure Active Directory'de (AAD) kısa süre sonra yanlış yapılandırılmış bir "Bing Trivia" uygulaması kullanarak Bing.com'daki içeriği değiştirmelerine ve Siteler Arası Komut Dosyası Çalıştırma (XSS) saldırısı gerçekleştirmelerine olanak tanıyan bir sorun keşfetti. Neyse ki, “adlı sorunBingBangBilgisayar korsanlarının milyonlarca kişinin Microsoft 365 hesap verilerine erişmesine izin verebilecek olan ”, Wiz keşfi bildirdikten sonra Microsoft tarafından hemen düzeltildi.

Sorun, geçtiğimiz 31 Ocak'ta Wiz tarafından Microsoft'a açılmış ve yazılım devinin yeni Bing'i resmi olarak duyurmasından günler önce, 2 Şubat'ta Microsoft tarafından giderilmişti. Wiz'in haberine göre konu yıllarca istismar edilmiş olabilir. Ancak, bilgisayar korsanlarının onu kullandığına dair herhangi bir gösterge olmadığını da sözlerine ekledi.

Bu belirteçle, bir saldırgan şunları getirebilir:

Outlook e-postaları ??
Takvimler?
Takım mesajları?
SharePoint belgeleri?
OneDrive dosyaları?
Ve daha fazlası, herhangi bir Bing kullanıcısından!

Burada, çalınan Bing belirteci kullanılarak "saldırgan makinemizde" okunan kişisel gelen kutumu görebilirsiniz: pic.twitter.com/f6aHiXYWvD

— Hillai Ben-Sasson (@hillai) 29 Mart, 2023

Raporda araştırmacılar, belirli bir Bing.com arama sonucu içeriğini değiştirmek için önce yanlış yapılandırılmış Microsoft uygulamasını kullanarak sözde "BingBang" saldırısını nasıl gerçekleştirebildiklerini ayrıntılı olarak açıkladılar. Gruba göre bu hata AAD'deki "riskli yapılandırma"dan kaynaklanıyor.

Wiz, blog yazısında, "Bu Paylaşılan Sorumluluk mimarisi, geliştiriciler için her zaman net değildir ve sonuç olarak, doğrulama ve yapılandırma hataları oldukça yaygındır," diye yazdı ve grubun taradığı çok kiracılı uygulamaların yaklaşık %25'inin savunmasız olduğunu ekledi. BingBang.

Bundan sonra Wiz, Bing.com'a zararsız bir XSS yükü eklemeye çalıştı ve başarılı oldu. Grup, ele alınmadığı takdirde bu sorunun dünya çapında milyonlarca insanı etkileyebileceğini söyledi.

"Aynı erişime sahip kötü niyetli bir aktör, aynı yük ile en popüler arama sonuçlarını ele geçirebilir ve milyonlarca kullanıcının hassas verilerini sızdırabilirdi." rapor katma. "Benzer Web'e göre Bing, ayda bir milyardan fazla sayfa görüntülemeyle dünyanın en çok ziyaret edilen 27. web sitesidir - başka bir deyişle, milyonlarca kullanıcı kötü niyetli arama sonuçlarına ve Office 365 veri hırsızlığına maruz kalabilirdi."

Bu arada Microsoft bir danışma sorunu çözmek için yaptığı eylemleri ayrıntılı olarak açıklar. Yazılım şirketine göre, "dahili uygulamalarımızın yalnızca az bir kısmını etkiledi." Bununla birlikte, yanlış yapılandırmanın derhal düzeltildiğini ve "gelecekteki hatalı yapılandırma riskini azaltmak için ek değişiklikler yaptığını" garanti etti.