A Bing hiba lehetővé teszi a hackerek számára, hogy módosítsák a keresési eredményeket, ellopják a fájlokat

Egy biztonsági kutatónak nemrég sikerült megváltoztatnia a Microsoft legjobb eredményeit Bing kereső és hozzáférhet bármely felhasználó privát fájljaihoz, potenciálisan felhasználók millióit veszélyeztetve – és ehhez csak egy nem biztonságos weboldalra kellett bejelentkezni.

A visszaélést Hillai Ben-Sasson kutató fedezte fel a Wiz felhőbiztonsági cég csapatánál. Ben-Sasson szerint, ez nemcsak lehetővé tenné a támadó számára, hogy módosítsa a Bing keresési eredményeit, hanem hozzáférést biztosítana több millió felhasználó privát fájljához és adataihoz.

A kutatócsoport által BingBangnak nevezett sérülékenység a Microsoft Azure Active Directoryján alapul, amelyet a vállalatok a felhasználói identitások és az alkalmazásokhoz való hozzáférés kezelésére használnak. Sajnos, ha egy alkalmazás rosszul van konfigurálva, a világ bármely Azure-felhasználója bejelentkezhet a megfelelő hitelesítő adatok nélkül.

Megdöbbentő módon a kutatók megjegyezték a technikai elemzés A hiba oka, hogy az általuk vizsgált többfelhasználós alkalmazások 25%-a sebezhető volt – beleértve a Bing Trivia nevű Microsoft-alkalmazást is.

Miután a hibát kihasználva bejelentkezett a Bing Trivia alkalmazásba, a Wiz csapata talált egy Bing.com-hoz kapcsolódó tartalomkezelő rendszert (CMS), amely a keresőmotor élő eredményeit vezérli. Egy csipetnyi humorral azután megváltoztatták az egyik bejegyzést, és a „legjobb filmzenék” legjobb eredményét a Dune pontszámáról az 1995-ös Hackers című filmre módosították.

Abban azonban semmi vicces, hogy mit takar ez a hiba. Amint a kutatók kifejtették, „egy rosszindulatú szereplő, aki a Bing Trivia alkalmazás oldalán landol, megtörténhetett manipulált bármilyen keresési kifejezést, és félretájékoztatási kampányokat indított, valamint adathalászott és mások személyes adatait adta meg weboldalak.”

Privát fájlok és e-mailek ellopása

Sőt, a kutatók egy ártalmatlan cross-site scripting (XSS) terhelést tudtak hozzáadni a Binghez, miközben bejelentkeztek. Ez az elvárásoknak megfelelően működött, zavarás nélkül. Miután jelentették a problémát a Microsoftnak, a kutatók megpróbálták módosítani ezt az XSS hasznos adatot, hogy megnézzék, mi lehetséges.

Mivel a Bing integrálódik a Microsoft 365, a Wiz csapata képes volt létrehozni egy szkriptet, amely potenciálisan ellophatja a bejelentkezett felhasználó hozzáférési tokenjeit, hozzáférést biztosítva számukra a felhasználó felhőadataihoz. Ez magában foglalhatja Outlook e-mailek, naptárak, Teams-üzenetek, OneDrive-fájlok és egyebek.

Összességében ez azt jelenti, hogy egy hacker képes lehet a Bing keresési eredményeit rosszindulatúra irányítani webhelyet, és ezzel egyidejűleg személyes adatokat gyűjthet be bármely Microsoft 365-fiókkal bejelentkezett felhasználótól. Mindez egy egyszerű bejelentkezési biztonsági rést kihasználva.

Szerencsére a kutatók azonnal jelentették a hibát a Microsoftnak, és nem sokkal később kijavították, ami 40 000 dolláros hibadíjat kapott. Ennek ellenére továbbra is riasztó példája annak, hogy milyen kevés erőfeszítésre van szükség a gyanútlan felhasználók millióinak személyes adatainak ellopásához.

Szerkesztői ajánlások

• Ez a kritikus kizsákmányolás lehetővé teheti a hackerek számára, hogy megkerüljék a Mac védelmét
• Ez az új Microsoft Bing Chat funkció lehetővé teszi a viselkedés megváltoztatását
• Ellenőrizze a beérkezett üzeneteket – a Microsoft most küldte ki a ChatGPT Bing-meghívók első hullámát
• A hacker 1 milliárd ember iratait lopja el példátlan adatsértéssel
• A hackerek az AMD-t vették célba, hogy hatalmas, 450 GB-nyi szigorúan titkos adatot lopjanak el

Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.