Ένας ερευνητής ασφαλείας μπόρεσε πρόσφατα να αλλάξει τα κορυφαία αποτελέσματα σε αυτά της Microsoft μηχανή αναζήτησης Bing και πρόσβαση στα ιδιωτικά αρχεία οποιουδήποτε χρήστη, θέτοντας ενδεχομένως εκατομμύρια χρήστες σε κίνδυνο — και το μόνο που χρειάστηκε ήταν να συνδεθείτε σε μια μη ασφαλή ιστοσελίδα.
Η εκμετάλλευση ανακαλύφθηκε από τον ερευνητή Hillai Ben-Sasson στην ομάδα τους στη Wiz, μια εταιρεία ασφάλειας cloud. Σύμφωνα με τον Ben-Sasson, όχι μόνο θα επέτρεπε σε έναν εισβολέα να αλλάξει τα αποτελέσματα αναζήτησης του Bing, αλλά θα του παρείχε επίσης πρόσβαση σε ιδιωτικά αρχεία και δεδομένα εκατομμυρίων χρηστών.
Το #BingBang - μια ευπάθεια του Bing.com που ανακαλύφθηκε από την Wiz Research
Ονομάστηκε BingBang από την ερευνητική ομάδα, η ευπάθεια επικεντρώνεται στον Azure Active Directory της Microsoft, ο οποίος χρησιμοποιείται από επιχειρήσεις για τη διαχείριση των ταυτοτήτων των χρηστών και την πρόσβαση σε εφαρμογές. Δυστυχώς, εάν μια εφαρμογή δεν έχει ρυθμιστεί σωστά, οποιοσδήποτε χρήστης του Azure στον κόσμο μπορεί να συνδεθεί σε αυτήν χωρίς τα κατάλληλα διαπιστευτήρια.
Σχετίζεται με
- Οι χάκερ χρησιμοποιούν ένα ύπουλο νέο τέχνασμα για να μολύνουν τις συσκευές σας
- Αυτό το σημαντικό σφάλμα της Apple θα μπορούσε να αφήσει τους χάκερ να κλέψουν τις φωτογραφίες σας και να σκουπίσουν τη συσκευή σας
- Το Hacking-as-a-service επιτρέπει στους χάκερ να κλέψουν τα δεδομένα σας για μόλις 10 $
Συγκλονιστικά, οι ερευνητές σημείωσαν στο α τεχνική ανάλυση από το σφάλμα ότι έως και το 25% όλων των εφαρμογών πολλών χρηστών που σάρωναν ήταν ευάλωτες — συμπεριλαμβανομένης μιας εφαρμογής της Microsoft που ονομάζεται Bing Trivia.
Προτεινόμενα βίντεο
Αφού εκμεταλλεύτηκε το ελάττωμα για να συνδεθεί στην εφαρμογή Bing Trivia, η ομάδα της Wiz βρήκε ένα σύστημα διαχείρισης περιεχομένου (CMS) συνδεδεμένο με το Bing.com που έλεγχε τα ζωντανά αποτελέσματα της μηχανής αναζήτησης. Με μια νότα χιούμορ, άλλαξαν στη συνέχεια μία από τις συμμετοχές, αλλάζοντας το κορυφαίο αποτέλεσμα για τα «καλύτερα soundtracks» από το σκορ του Dune σε αυτό από την ταινία του 1995 Hackers.
Ωστόσο, δεν υπάρχει τίποτα αστείο σχετικά με το τι σημαίνει αυτό το ελάττωμα. Όπως εξήγησαν οι ερευνητές, «ένας κακόβουλος ηθοποιός που προσγειώνεται στη σελίδα της εφαρμογής Bing Trivia θα μπορούσε επομένως να παραποιήθηκε οποιοσδήποτε όρος αναζήτησης και ξεκίνησε εκστρατείες παραπληροφόρησης, καθώς και υποκλοπή και πλαστοπροσωπία άλλων ιστοσελίδες.”
Κλοπή ιδιωτικών αρχείων και email
Επιπλέον, οι ερευνητές μπόρεσαν να προσθέσουν ένα αβλαβές φορτίο δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) στο Bing ενώ ήταν συνδεδεμένοι. Αυτό μπόρεσε να λειτουργήσει όπως αναμενόταν, χωρίς παρεμβολές. Αφού ανέφεραν το ζήτημα στη Microsoft, οι ερευνητές προσπάθησαν να τροποποιήσουν αυτό το ωφέλιμο φορτίο XSS για να δουν τι ήταν δυνατό.
Επειδή το Bing ενσωματώνεται με Microsoft 365, η ομάδα του Wiz μπόρεσε να δημιουργήσει ένα σενάριο που θα μπορούσε ενδεχομένως να κλέψει τα διακριτικά πρόσβασης ενός συνδεδεμένου χρήστη, παρέχοντάς του πρόσβαση στα δεδομένα cloud του συγκεκριμένου χρήστη. Αυτό θα μπορούσε να περιλαμβάνει email του Outlook, ημερολόγια, μηνύματα Teams, αρχεία OneDrive και άλλα.
Συνολικά, αυτό σημαίνει ότι ένας χάκερ θα μπορούσε να έχει τη δύναμη να ανακατευθύνει τα αποτελέσματα αναζήτησης του Bing σε κακόβουλο ιστοσελίδα και ταυτόχρονα να συλλέγει προσωπικά δεδομένα από οποιονδήποτε χρήστη που είναι συνδεδεμένος σε λογαριασμό Microsoft 365. Όλα από την εκμετάλλευση μιας απλής ευπάθειας σύνδεσης.
Ευτυχώς, οι ερευνητές ανέφεραν αμέσως το ελάττωμα στη Microsoft και επιδιορθώθηκε λίγο αργότερα, με αποτέλεσμα μια ανταμοιβή 40.000 $ bug bounty. Ωστόσο, παραμένει ένα ανησυχητικό παράδειγμα του πόσο λίγη προσπάθεια μπορεί να απαιτηθεί για την κλοπή ιδιωτικών δεδομένων από εκατομμύρια ανυποψίαστους χρήστες.
Συστάσεις των συντακτών
- Αυτή η κρίσιμη εκμετάλλευση θα μπορούσε να επιτρέψει στους χάκερ να παρακάμψουν τις άμυνες του Mac σας
- Αυτή η νέα δυνατότητα Microsoft Bing Chat σάς επιτρέπει να αλλάξετε τη συμπεριφορά της
- Ελέγξτε τα εισερχόμενά σας — Η Microsoft μόλις έστειλε το πρώτο κύμα προσκλήσεων ChatGPT Bing
- Χάκερ κλέβει αρχεία 1 δισεκατομμυρίου ανθρώπων σε άνευ προηγουμένου παραβίαση δεδομένων
- Οι χάκερ στόχευσαν την AMD για να κλέψουν τεράστια 450 GB άκρως απόρρητων δεδομένων
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
