تمكن أحد الباحثين الأمنيين مؤخرًا من تغيير أهم النتائج في Microsoft محرك بحث بنج والوصول إلى الملفات الخاصة لأي مستخدم، مما قد يعرض ملايين المستخدمين للخطر - وكل ما يتطلبه الأمر هو تسجيل الدخول إلى صفحة ويب غير آمنة.
تم اكتشاف هذا الاستغلال من قبل الباحثة هيلاي بن ساسون في فريقهم في شركة Wiz، وهي شركة أمنية سحابية. بحسب بن ساسونلن يسمح هذا للمهاجم بتغيير نتائج بحث Bing فحسب، بل سيمنحه أيضًا إمكانية الوصول إلى ملايين الملفات والبيانات الخاصة بالمستخدمين.
#BingBang - ثغرة أمنية في Bing.com تم اكتشافها بواسطة Wiz Research
وتركزت الثغرة الأمنية، التي أطلق عليها فريق البحث اسم BingBang، على Azure Active Directory من Microsoft، والذي تستخدمه المؤسسات لإدارة هويات المستخدمين والوصول إلى التطبيقات. لسوء الحظ، إذا تمت تكوين أحد التطبيقات بشكل خاطئ، فيمكن لأي مستخدم Azure في العالم تسجيل الدخول إليه دون بيانات الاعتماد المناسبة.
متعلق ب
- يستخدم المتسللون خدعة جديدة مخادعة لإصابة أجهزتك
- قد يسمح هذا الخلل الكبير في Apple للمتسللين بسرقة صورك ومسح جهازك
- يتيح الاختراق كخدمة للمتسللين سرقة بياناتك مقابل 10 دولارات فقط
ومن المثير للصدمة أن الباحثين لاحظوا في أ التحليل الفني من الخطأ أن ما يصل إلى 25% من جميع التطبيقات متعددة المستخدمين التي قاموا بفحصها كانت عرضة للخطر، بما في ذلك تطبيق Microsoft المسمى Bing Trivia.
مقاطع الفيديو الموصى بها
وبعد استغلال الثغرة لتسجيل الدخول إلى تطبيق Bing Trivia، عثر فريق Wiz على نظام إدارة محتوى (CMS) مرتبط بـ Bing.com كان يتحكم في النتائج المباشرة لمحرك البحث. وبلمسة من الفكاهة، قاموا بعد ذلك بتغيير أحد الإدخالات، وتغيير النتيجة العليا لـ "أفضل الموسيقى التصويرية" من نتيجة Dune إلى تلك من فيلم Hackers عام 1995.
ومع ذلك، لا يوجد شيء مضحك حول ما يعنيه هذا الخلل. وكما أوضح الباحثون، "من الممكن أن يصل ممثل خبيث إلى صفحة تطبيق Bing Trivia العبث بأي مصطلح بحث وإطلاق حملات تضليل، بالإضافة إلى التصيد وانتحال شخصيات أخرى المواقع الإلكترونية."
سرقة الملفات الخاصة ورسائل البريد الإلكتروني
علاوة على ذلك، تمكن الباحثون من إضافة حمولة برمجة نصية عبر المواقع (XSS) غير ضارة إلى Bing أثناء تسجيل دخولهم. وكان هذا قادرا على العمل كما هو متوقع، دون تدخل. بعد الإبلاغ عن المشكلة إلى Microsoft، حاول الباحثون تعديل حمولة XSS لمعرفة ما هو ممكن.
لأن Bing يتكامل مع مايكروسوفت 365، تمكن فريق Wiz من إنشاء برنامج نصي يمكنه سرقة رموز الوصول الخاصة بالمستخدم الذي قام بتسجيل الدخول، ومنحهم حق الوصول إلى البيانات السحابية لهذا المستخدم. يمكن أن يشمل ذلك رسائل البريد الإلكتروني في Outlookوالتقويمات ورسائل Teams وملفات OneDrive والمزيد.
وهذا يعني أن المتسلل قد يكون لديه القدرة على إعادة توجيه نتائج بحث Bing إلى برنامج ضار موقع الويب، وفي الوقت نفسه جمع البيانات الخاصة من أي مستخدم قام بتسجيل الدخول على حساب Microsoft 365. كل ذلك من خلال استغلال ثغرة أمنية بسيطة في تسجيل الدخول.
ولحسن الحظ، قام الباحثون على الفور بإبلاغ مايكروسوفت بالخلل وتم تصحيحه بعد فترة وجيزة، مما أدى إلى مكافأة قدرها 40 ألف دولار أمريكي. ومع ذلك، يظل هذا مثالًا مثيرًا للقلق على مدى ضآلة الجهد المطلوب لسرقة البيانات الخاصة من ملايين المستخدمين المطمئنين.
توصيات المحررين
- قد يسمح هذا الاستغلال الخطير للمتسللين بتجاوز دفاعات جهاز Mac الخاص بك
- تتيح لك ميزة Microsoft Bing Chat الجديدة تغيير سلوكها
- تحقق من بريدك الوارد – أرسلت Microsoft للتو الموجة الأولى من دعوات ChatGPT Bing
- هاكر يسرق سجلات مليار شخص في اختراق غير مسبوق للبيانات
- استهدف المتسللون شركة AMD لسرقة 450 جيجابايت من البيانات السرية للغاية
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.
