Microsoft sửa lỗ hổng 'BingBang' cho phép thao túng nội dung tìm kiếm trên Bing, đánh cắp dữ liệu Office 365
2 phút đọc
Được đăng trên
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Tôi đã hack vào một @Bing CMS cho phép tôi thay đổi kết quả tìm kiếm và tiếp quản hàng triệu @Văn phòng 365 tài khoản.
Tôi đã làm điều đó như thế nào? Vâng, tất cả bắt đầu với một cú nhấp chuột đơn giản trong @Azure…?
Đây là câu chuyện của #bingbang ? pic.twitter.com/9pydWvHhJs- Hillai Ben-Sasson (@hillai) 29 Tháng ba, 2023
Các chuyên gia bảo mật tại Wiz Research đã phát hiện ra một sự cố trong Azure Active Directory (AAD) sớm cho phép họ thao túng nội dung trên Bing.com bằng cách sử dụng ứng dụng “Bing Trivia” bị định cấu hình sai và thực hiện cuộc tấn công Cross-Site Scripting (XSS). May mắn thay, vấn đề có tên “BingBang,” có thể đã cho phép tin tặc truy cập dữ liệu tài khoản Microsoft 365 của hàng triệu người, đã được Microsoft khắc phục ngay lập tức sau khi Wiz báo cáo phát hiện.
Vấn đề đã được Wiz gửi cho Microsoft vào ngày 31 tháng 2 vừa qua và đã được Microsoft khắc phục vào ngày XNUMX tháng XNUMX, vài ngày trước khi gã khổng lồ phần mềm chính thức công bố Bing mới. Theo báo cáo từ Wiz, vấn đề này có thể đã bị khai thác trong nhiều năm. Tuy nhiên, nó nói thêm rằng không có dấu hiệu nào cho thấy tin tặc đã sử dụng nó.
Với mã thông báo này, kẻ tấn công có thể tìm nạp:
Email Outlook ??
Lịch?
Tin nhắn nhóm?
Tài liệu SharePoint?
Tệp OneDrive?
Và hơn thế nữa, từ bất kỳ người dùng Bing nào!Tại đây, bạn có thể thấy hộp thư đến cá nhân của tôi được đọc trên “máy kẻ tấn công” của chúng tôi, bằng cách sử dụng mã thông báo Bing bị lọc: pic.twitter.com/f6aHiXYWvD
- Hillai Ben-Sasson (@hillai) 29 Tháng ba, 2023
Trong báo cáo, các nhà nghiên cứu đã trình bày chi tiết cách họ có thể thực hiện cái gọi là cuộc tấn công “BingBang” bằng cách sử dụng ứng dụng Microsoft bị định cấu hình sai để sửa đổi nội dung kết quả tìm kiếm Bing.com cụ thể. Theo nhóm, lỗi này bắt nguồn từ “cấu hình rủi ro” trong AAD.
Wiz viết trong một bài đăng trên blog: “Kiến trúc Trách nhiệm chung này không phải lúc nào cũng rõ ràng đối với các nhà phát triển và do đó, các lỗi xác thực và cấu hình khá phổ biến,” Wiz viết trong một bài đăng trên blog, đồng thời bổ sung thêm khoảng 25% ứng dụng nhiều bên thuê mà nhóm đã quét dễ bị tấn công. BingBang.
Sau đó, Wiz đã cố gắng thêm một tải trọng XSS vô hại vào Bing.com và đã thành công. Nhóm cho biết nếu không được giải quyết, vấn đề này có thể ảnh hưởng đến hàng triệu người trên toàn thế giới.
“Một tác nhân độc hại có cùng quyền truy cập có thể đã chiếm quyền điều khiển các kết quả tìm kiếm phổ biến nhất với cùng một tải trọng và làm rò rỉ dữ liệu nhạy cảm của hàng triệu người dùng,” báo cáo cho biết. báo cáo thêm. “Theo SimilarWeb, Bing là trang web được truy cập nhiều thứ 27 trên thế giới, với hơn một tỷ lượt xem trang mỗi tháng – nói cách khác, hàng triệu người dùng có thể đã tiếp xúc với các kết quả tìm kiếm độc hại và hành vi trộm cắp dữ liệu Office 365.”
Trong khi đó, Microsoft đã phát hành một cố vấn nêu chi tiết các hành động của mình để giải quyết vấn đề. Theo công ty phần mềm, nó chỉ “ảnh hưởng đến một số lượng nhỏ ứng dụng nội bộ của chúng tôi”. Tuy nhiên, nó đảm bảo rằng cấu hình sai đã được sửa ngay lập tức và nó “đã thực hiện các thay đổi bổ sung để giảm nguy cơ cấu hình sai trong tương lai”.