微軟修復了“BingBang”漏洞，允許 Bing 搜索內容操縱、Office 365 數據竊取

我侵入了一個 B CMS 允許我改變搜索結果並接管數百萬 @Office365 帳戶。
我是怎麼做到的？ 嗯，這一切都始於一個簡單的點擊 @天青……？
這是故事 #冰棒 ？ pic.twitter.com/9pydWvHhJs

— 希萊·本·薩森 (@hillai) 2023 年 3 月 29 日

Wiz Research 的安全專家在 Azure Active Directory (AAD) 中發現了一個問題，該問題很快允許他們使用配置錯誤的“Bing Trivia”應用程序操縱 Bing.com 上的內容並執行跨站點腳本 (XSS) 攻擊。 幸運的是，名為“冰棒”，這可能允許黑客訪問數百萬人的 Microsoft 365 帳戶數據，在 Wiz 報告這一發現後，微軟立即修復了該漏洞。

該問題於去年 31 月 2 日由 Wiz 向微軟公開，並於 XNUMX 月 XNUMX 日由微軟修復，也就是軟件巨頭正式宣布推出新 Bing 的前幾天。 根據 Wiz 的報告，該問題可能已被利用多年。 但是，它補充說，沒有跡象表明黑客使用了它。

使用此令牌，攻擊者可以獲取：

展望電子郵件??
日曆？
團隊消息？
SharePoint 文檔 ?
OneDrive 文件？
還有更多，來自任何 Bing 用戶！

在這裡你可以看到我的個人收件箱正在我們的“攻擊者機器”上使用洩露的 Bing 令牌閱讀： pic.twitter.com/f6aHiXYWvD

— 希萊·本·薩森 (@hillai) 2023 年 3 月 29 日

在報告中，研究人員詳細說明了他們如何通過首先使用配置錯誤的 Microsoft 應用程序修改特定的 Bing.com 搜索結果內容來執行所謂的“BingBang”攻擊。 據該組織稱，該錯誤源於AAD中的“風險配置”。

“這種責任共擔架構對開發人員來說並不總是很清楚，因此，驗證和配置錯誤非常普遍，”Wiz 在博客文章中寫道，並補充說，該小組掃描的大約 25% 的多租戶應用程序容易受到冰棒。

在此之後，Wiz 嘗試向 Bing.com 添加一個無害的 XSS 負載，並成功了。 該組織表示，如果不加以解決，這個問題可能會影響全世界數百萬人。

“具有相同訪問權限的惡意行為者可以利用相同的有效負載劫持最流行的搜索結果，並洩露數百萬用戶的敏感數據，” report 添加。 “根據 SimilarWeb 的數據，Bing 是世界上第 27 大訪問量最大的網站，每月的頁面瀏覽量超過 365 億次——換句話說，數百萬用戶可能已經暴露於惡意搜索結果和 Office XNUMX 數據盜竊。”

與此同時，微軟發布了一個 諮詢 詳細說明其解決問題的行動。 據該軟件公司稱，它只“影響了我們的一小部分內部應用程序”。 儘管如此，它保證錯誤配置已立即得到糾正，並且它“進行了額外的更改以降低未來配置錯誤的風險。”