微软修复了“BingBang”漏洞，允许 Bing 搜索内容操纵、Office 365 数据窃取

我侵入了一个 @冰 CMS 允许我改变搜索结果并接管数百万 @Office365 帐户。
我是怎么做到的？ 嗯，这一切都始于一个简单的点击 @天青……？
这是故事 #冰棒 ？ pic.twitter.com/9pydWvHhJs

— 希莱·本·萨森 (@hillai) 2023 年 3 月 29 日

Wiz Research 的安全专家在 Azure Active Directory (AAD) 中发现了一个问题，该问题很快允许他们使用配置错误的“Bing Trivia”应用程序操纵 Bing.com 上的内容并执行跨站点脚本 (XSS) 攻击。 幸运的是，名为“冰棒”，这可能允许黑客访问数百万人的 Microsoft 365 帐户数据，在 Wiz 报告这一发现后，微软立即修复了该漏洞。

该问题于去年 31 月 2 日由 Wiz 向微软公开，并于 XNUMX 月 XNUMX 日由微软修复，也就是软件巨头正式宣布推出新 Bing 的前几天。 根据 Wiz 的报告，该问题可能已被利用多年。 但是，它补充说，没有迹象表明黑客使用了它。

使用此令牌，攻击者可以获取：

展望电子邮件??
日历？
团队消息？
SharePoint 文档 ?
OneDrive 文件？
还有更多，来自任何 Bing 用户！

在这里你可以看到我的个人收件箱正在我们的“攻击者机器”上使用泄露的 Bing 令牌阅读： pic.twitter.com/f6aHiXYWvD

— 希莱·本·萨森 (@hillai) 2023 年 3 月 29 日

在报告中，研究人员详细说明了他们如何通过首先使用配置错误的 Microsoft 应用程序修改特定的 Bing.com 搜索结果内容来执行所谓的“BingBang”攻击。 据该组织称，该错误源于AAD中的“风险配置”。

“这种责任共担架构对开发人员来说并不总是很清楚，因此，验证和配置错误非常普遍，”Wiz 在博客文章中写道，并补充说，该小组扫描的大约 25% 的多租户应用程序容易受到冰棒。

在此之后，Wiz 尝试向 Bing.com 添加一个无害的 XSS 负载，并成功了。 该组织表示，如果不加以解决，这个问题可能会影响全世界数百万人。

“具有相同访问权限的恶意行为者可以利用相同的有效负载劫持最流行的搜索结果，并泄露数百万用户的敏感数据，” 报告 添加。 “根据 SimilarWeb 的数据，Bing 是世界上第 27 大访问量最大的网站，每月的页面浏览量超过 365 亿次——换句话说，数百万用户可能已经暴露于恶意搜索结果和 Office XNUMX 数据盗窃。”

与此同时，微软发布了一个 advisory 详细说明其解决问题的行动。 据该软件公司称，它只“影响了我们的一小部分内部应用程序”。 尽管如此，它保证错误配置已立即得到纠正，并且它“进行了额外的更改以降低未来配置错误的风险。”