W Bingu odkryto exploit, który umożliwiał manipulowanie wynikami wyszukiwania Binga i uzyskiwanie dostępu do kont Outlooka
Na początku tego roku w Microsoft Bing odkryto lukę, która pozwalała atakującym na modyfikowanie wyników wyszukiwania i uzyskiwanie dostępu do danych osobowych użytkowników Binga w takich usługach jak Teams, Outlook i Office 365. Jeszcze w styczniu eksperci ds. bezpieczeństwa Wiz odkryli lukę w konfiguracji Azure, platformy cloud computing, która faktycznie narażała Binga.
Co wiadomo
Luka została odkryta w usłudze Azure Active Directory. Aplikacje korzystające z uprawnień wielostanowiskowych platformy są dostępne dla każdego użytkownika Azure, więc deweloperzy powinni sprawdzić, którzy użytkownicy mają dostęp do ich aplikacji. Zazwyczaj jednak takie sprawdzanie nie jest wykonywane, co stwarza potencjalne luki dla hakerów. Według badania Wiz, około 25% użytkowników ma z tym problemy.
Włamałem się do @Bing CMS, który pozwolił mi zmienić wyniki wyszukiwania i przejąć miliony kont @Office365.
- Hillai Ben-Sasson (@hillai) 29 marca 2023 r.
Jak to zrobiłem? Cóż, wszystko zaczęło się od prostego kliknięcia w @Azure... ????
Oto historia #BingBang ⬇️ pic.twitter.com/9pydWvHhJs
Jedną z takich aplikacji jest Bing Trivia. Badacze byli w stanie zalogować się do aplikacji za pomocą własnych kont Azure, gdzie odkryli system zarządzania treścią (CMS), który pozwalał im kontrolować wyniki wyszukiwania na żywo na stronie Bing.com. Wiz podkreśla, że każdy, kto uzyskał dostęp do strony aplikacji Bing Trivia, mógł potencjalnie manipulować wynikami wyszukiwania Bing w celu uruchomienia kampanii dezinformacyjnych lub phishingowych.
Wiz zaleca, aby organizacje posiadające aplikacje Azure Active Directory sprawdzały logi aplikacji pod kątem podejrzanych logowań, które mogłyby wskazywać na naruszenie bezpieczeństwa.
Źródło: The Verge