Недостатъкът на Bing позволява на хакерите да променят резултатите от търсенето, да крадат вашите файлове

Изследовател по сигурността наскоро успя да промени най-добрите резултати в Microsoft Търсачка Bing и достъп до частните файлове на всеки потребител, потенциално излагайки милиони потребители на риск - и всичко, което беше необходимо, беше да влезете в незащитена уеб страница.

Експлойтът беше открит от изследователя Хилай Бен-Сасон от техния екип в Wiz, фирма за облачна сигурност. Според Бен-Сасон, това не само би позволило на атакуващ да промени резултатите от търсенето в Bing, но също така ще му предостави достъп до милиони лични файлове и данни на потребители.

Наречен BingBang от изследователската група, уязвимостта е съсредоточена върху Azure Active Directory на Microsoft, която се използва от предприятията за управление на потребителските идентичности и достъп до приложения. За съжаление, ако дадено приложение е неправилно конфигурирано, всеки потребител на Azure в света може да влезе в него без правилните идентификационни данни.

Шокиращо, изследователите отбелязват в a технически анализ от грешката, че до 25% от всички приложения за много потребители, които са сканирали, са били уязвими — включително приложение на Microsoft, наречено Bing Trivia.

След като използва пропуска, за да влезе в приложението Bing Trivia, екипът на Wiz откри система за управление на съдържанието (CMS), свързана с Bing.com, която контролира резултатите на живо на търсачката. След това с доза хумор те промениха един от записите, променяйки най-добрия резултат за „най-добри саундтраци“ от резултата от Dune на този от филма „Хакери“ от 1995 г.

Въпреки това, няма нищо смешно в това, което предполага този недостатък. Както обясняват изследователите, „злонамерен актьор, кацнал на страницата на приложението Bing Trivia, би могъл да има манипулирали всяка дума за търсене и стартирали кампании за дезинформация, както и фишинг и имитиране на други уебсайтове.”

Кражба на лични файлове и имейли

Нещо повече, изследователите са успели да добавят безвреден полезен товар за междусайтови скриптове (XSS) в Bing, докато са били влезли в системата. Това успя да работи според очакванията, без смущения. След като докладваха проблема на Microsoft, изследователите се опитаха да модифицират този XSS полезен товар, за да видят какво е възможно.

Тъй като Bing се интегрира с Microsoft 365, екипът на Wiz успя да създаде скрипт, който потенциално може да открадне токените за достъп на влязъл потребител, предоставяйки им достъп до облачните данни на този потребител. Това може да включва Имейли на Outlook, календари, съобщения на Teams, файлове в OneDrive и др.

Взети заедно, това означава, че хакер може да има силата да пренасочи резултатите от търсенето в Bing към злонамерен уебсайт и в същото време събира лични данни от всеки потребител, влязъл в акаунт в Microsoft 365. Всичко от използване на проста уязвимост при влизане.

За щастие, изследователите незабавно съобщиха за пропуска на Microsoft и той беше коригиран малко след това, което доведе до награда от $40 000 за грешки. И все пак това остава тревожен пример за това колко малко усилия могат да бъдат необходими за кражба на лични данни от милиони нищо неподозиращи потребители.

Препоръки на редакторите

• Този критичен експлойт може да позволи на хакерите да заобиколят защитите на вашия Mac
• Тази нова функция за чат на Microsoft Bing ви позволява да промените нейното поведение
• Проверете входящата си поща — Microsoft току-що изпрати първата вълна от покани за ChatGPT Bing
• Хакер открадва досиета на 1 милиард хора при безпрецедентно проникване на данни
• Хакерите се насочиха към AMD, за да откраднат огромни 450 GB строго секретни данни

Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.