Microsoft виправляє вразливість «BingBang», що дозволяє маніпулювати вмістом пошуку Bing, крадіжку даних Office 365

Я зламав a @Bing CMS, яка дозволила мені змінити результати пошуку та взяти на себе мільйони @Office365 рахунки.
Як я це зробив? Ну, все почалося з простого кліку @Лазурний…?
Це історія #BingBang ? pic.twitter.com/9pydWvHhJs

— Хіллай Бен-Сассон (@hillai) Березня 29, 2023

Експерти з безпеки в Wiz Research виявили проблему в Azure Active Directory (AAD), яка незабаром дозволила їм маніпулювати вмістом на Bing.com за допомогою неправильно налаштованої програми «Bing Trivia» і здійснити атаку міжсайтового сценарію (XSS). На щастя, проблема під назвою "BingBang”, який міг дозволити хакерам отримати доступ до даних облікових записів Microsoft 365 мільйонів людей, було негайно виправлено Microsoft після того, як Wiz повідомила про відкриття.

Проблема була відкрита Wiz для Microsoft 31 січня минулого року та була виправлена ​​Microsoft 2 лютого, за кілька днів до того, як програмний гігант офіційно оголосив про новий Bing. Згідно зі звітом Wiz, проблема могла використовуватися роками. Однак він додав, що немає ознак того, що хакери використовували його.

За допомогою цього маркера зловмисник може отримати:

Електронні листи Outlook??
Календарі ?
Повідомлення команд?
Документи SharePoint?
Файли OneDrive?
І багато іншого від будь-якого користувача Bing!

Тут ви можете побачити, як мою особисту папку «Вхідні» читає наша «машина зловмисника» за допомогою викраденого токена Bing: pic.twitter.com/f6aHiXYWvD

— Хіллай Бен-Сассон (@hillai) Березня 29, 2023

У звіті дослідники детально описують, як вони змогли здійснити так звану атаку «BingBang», спочатку використовуючи неправильно налаштовану програму Microsoft для зміни конкретного вмісту результатів пошуку Bing.com. За словами групи, ця помилка виникла через «ризиковану конфігурацію» в AAD.

«Ця архітектура спільної відповідальності не завжди зрозуміла розробникам, і, як наслідок, помилки перевірки та конфігурації досить поширені», — написав Wiz у дописі в блозі, додавши, що приблизно 25% мультитенантних програм, які перевірила група, були вразливі до BingBang.

Після цього Wiz спробував додати нешкідливе корисне навантаження XSS до Bing.com, і це було успішно. Група заявила, що якщо цю проблему не вирішити, вона могла б вплинути на мільйони людей у ​​всьому світі.

«Зловмисник із таким самим доступом міг заволодіти найпопулярнішими результатами пошуку з тим же корисним навантаженням і витік конфіденційних даних мільйонів користувачів», — звітом додано. «Згідно з SimilarWeb, Bing є 27-м найбільш відвідуваним веб-сайтом у світі з понад мільярдом переглядів сторінок на місяць – іншими словами, мільйони користувачів могли стати жертвою шкідливих результатів пошуку та крадіжки даних Office 365».

Тим часом Microsoft випустила консультативний детально описуючи свої дії щодо вирішення проблеми. Згідно з програмною компанією, це «вплинуло лише на невелику кількість наших внутрішніх програм». Тим не менш, він запевнив, що неправильну конфігурацію було негайно виправлено і що він «вніс додаткові зміни, щоб зменшити ризик майбутніх неправильних конфігурацій».