Recientemente, un investigador de seguridad pudo cambiar los resultados principales en Microsoft motor de búsqueda bing y acceder a los archivos privados de cualquier usuario, poniendo potencialmente en riesgo a millones de usuarios, y todo lo que hizo falta fue iniciar sesión en una página web no segura.
El exploit fue descubierto por el investigador Hillai Ben-Sasson de su equipo en Wiz, una empresa de seguridad en la nube. Según Ben Sasson, no solo permitiría a un atacante cambiar los resultados de búsqueda de Bing, sino que también le otorgaría acceso a los archivos y datos privados de millones de usuarios.
#BingBang: una vulnerabilidad de Bing.com descubierta por Wiz Research
La vulnerabilidad, denominada BingBang por el grupo de investigación, se centró en Azure Active Directory de Microsoft, que utilizan las empresas para gestionar las identidades de los usuarios y el acceso a las aplicaciones. Desafortunadamente, si una aplicación está mal configurada, cualquier usuario de Azure en el mundo puede iniciar sesión sin las credenciales adecuadas.
Relacionado
- Los piratas informáticos están utilizando un nuevo truco tortuoso para infectar sus dispositivos
- Este importante error de Apple podría permitir a los piratas informáticos robar tus fotos y borrar tu dispositivo
- El hacking como servicio permite a los piratas informáticos robar sus datos por sólo 10 dólares
Sorprendentemente, los investigadores observaron en un análisis técnico del error que hasta el 25% de todas las aplicaciones multiusuario que escanearon eran vulnerables, incluida una aplicación de Microsoft llamada Bing Trivia.
Vídeos recomendados
Después de explotar la falla para iniciar sesión en la aplicación Bing Trivia, el equipo de Wiz encontró un sistema de gestión de contenido (CMS) vinculado a Bing.com que controlaba los resultados en vivo del motor de búsqueda. Con un toque de humor, luego alteraron una de las entradas, cambiando el resultado principal de "mejores bandas sonoras" de la música de Dune por el de la película Hackers de 1995.
Sin embargo, no hay nada gracioso en lo que implica este defecto. Como explicaron los investigadores, "un actor malicioso que llegue a la página de la aplicación Bing Trivia podría, por lo tanto, haber manipuló cualquier término de búsqueda y lanzó campañas de desinformación, así como phishing y suplantación de otros sitios web”.
Robar archivos privados y correos electrónicos
Es más, los investigadores pudieron agregar una carga útil de secuencias de comandos entre sitios (XSS) inofensiva a Bing mientras estaban conectados. Esto pudo funcionar como se esperaba, sin interferencias. Después de informar el problema a Microsoft, los investigadores intentaron modificar esta carga útil XSS para ver qué era posible.
Porque Bing se integra con microsoft 365, el equipo de Wiz pudo crear un script que potencialmente podría robar los tokens de acceso de un usuario que inició sesión, otorgándole acceso a los datos de la nube de ese usuario. Eso podría incluir correos electrónicos de perspectiva, calendarios, mensajes de Teams, archivos de OneDrive y más.
En conjunto, eso significa que un pirata informático podría tener el poder de redirigir los resultados de búsqueda de Bing a un sitio malicioso. sitio web y, al mismo tiempo, recopilar datos privados de cualquier usuario que haya iniciado sesión en una cuenta de Microsoft 365. Todo ello gracias a la explotación de una simple vulnerabilidad de inicio de sesión.
Afortunadamente, los investigadores informaron inmediatamente de la falla a Microsoft y fue reparada poco después, lo que resultó en una recompensa de 40.000 dólares por error. Sin embargo, sigue siendo un ejemplo alarmante de cuán poco esfuerzo puede requerirse para robar datos privados de millones de usuarios desprevenidos.
Recomendaciones de los editores
- Este exploit crítico podría permitir a los piratas informáticos eludir las defensas de su Mac
- Esta nueva función de Microsoft Bing Chat te permite cambiar su comportamiento
- Revise su bandeja de entrada: Microsoft acaba de enviar la primera ola de invitaciones ChatGPT a Bing
- Un hacker roba los registros de mil millones de personas en una violación de datos sin precedentes
- Los piratas informáticos apuntaron a AMD para robar enormes 450 GB de datos ultrasecretos
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
