En sikkerhedsforsker var for nylig i stand til at ændre topresultaterne i Microsofts Bing søgemaskine og få adgang til enhver brugers private filer, hvilket potentielt udsætter millioner af brugere i fare - og det eneste, der skulle til, var at logge ind på en usikret webside.
Udnyttelsen blev opdaget af forsker Hillai Ben-Sasson hos deres team hos Wiz, et cloud-sikkerhedsfirma. Ifølge Ben-Sasson, ville det ikke kun give en angriber mulighed for at ændre Bing-søgeresultater, men ville også give dem adgang til millioner af brugeres private filer og data.
#BingBang - en Bing.com-sårbarhed opdaget af Wiz Research
Døbt BingBang af forskningsgruppen, sårbarheden centreret om Microsofts Azure Active Directory, som bruges af virksomheder til at administrere brugeridentiteter og adgang til apps. Desværre, hvis en app er forkert konfigureret, kan enhver Azure-bruger i verden logge ind på den uden de korrekte legitimationsoplysninger.
Relaterede
- Hackere bruger et snedigt nyt trick til at inficere dine enheder
- Denne store Apple-fejl kan lade hackere stjæle dine billeder og tørre din enhed
- Hacking-as-a-service lader hackere stjæle dine data for kun $10
Chokerende bemærkede forskerne i en teknisk analyse af fejlen, at op til 25 % af alle multi-user apps, de scannede, var sårbare - inklusive en Microsoft-app ved navn Bing Trivia.
Anbefalede videoer
Efter at have udnyttet fejlen til at logge ind på Bing Trivia-appen, fandt Wiz-teamet et indholdsstyringssystem (CMS) knyttet til Bing.com, der styrede søgemaskinens live resultater. Med et strejf af humor ændrede de derefter et af bidragene og ændrede topresultatet for 'bedste lydspor' fra Dune-score til det fra 1995-filmen Hackers.
Der er dog ikke noget sjovt ved, hvad denne fejl indebærer. Som forskerne forklarede, "kan en ondsindet skuespiller, der lander på Bing Trivia-appens side, derfor have manipuleret med enhver søgeterm og lanceret misinformationskampagner, samt phished og efterlignet andet hjemmesider."
Stjæle private filer og e-mails
Hvad mere er, var forskerne i stand til at tilføje en harmløs cross-site scripting (XSS) nyttelast til Bing, mens de var logget ind. Dette var i stand til at køre som forventet uden forstyrrelser. Efter at have rapporteret problemet til Microsoft, forsøgte forskerne at ændre denne XSS-nyttelast for at se, hvad der var muligt.
Fordi Bing integrerer med Microsoft 365, var Wiz-teamet i stand til at oprette et script, der potentielt kunne stjæle en logget brugers adgangstokens og give dem adgang til denne brugers cloud-data. Det kunne inkludere Outlook e-mails, kalendere, Teams-beskeder, OneDrive-filer og mere.
Sammenlagt betyder det, at en hacker kan have magten til at omdirigere Bing-søgeresultater til en ondsindet hjemmeside, og samtidig høste private data fra enhver bruger, der er logget ind på en Microsoft 365-konto. Alt sammen fra at udnytte en simpel login-sårbarhed.
Heldigvis rapporterede forskerne øjeblikkeligt fejlen til Microsoft, og den blev rettet kort efter, hvilket resulterede i en 40.000 $ bug-bounty-belønning. Alligevel er det stadig et alarmerende eksempel på, hvor lidt indsats der kan kræves for at stjæle private data fra millioner af intetanende brugere.
Redaktørens anbefalinger
- Denne kritiske udnyttelse kan lade hackere omgå din Macs forsvar
- Denne nye Microsoft Bing Chat-funktion lader dig ændre dens adfærd
- Tjek din indbakke - Microsoft har lige udsendt den første bølge af ChatGPT Bing-invitationer
- Hacker stjæler 1 milliard menneskers optegnelser i et hidtil uset databrud
- Hackere målrettede AMD for at stjæle enorme 450 GB tophemmelige data
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
