חוקר אבטחה הצליח לאחרונה לשנות את התוצאות המובילות ב-Microsoft מנוע החיפוש בינג ולגשת לקבצים הפרטיים של כל משתמש, מה שעלול לסכן מיליוני משתמשים - וכל מה שנדרש היה כניסה לדף אינטרנט לא מאובטח.
הניצול התגלה על ידי החוקר הילאי בן ששון בצוות שלהם בחברת Wiz, חברת אבטחת ענן. לדברי בן ששון, זה לא רק יאפשר לתוקף לשנות את תוצאות החיפוש של Bing אלא גם יעניק להם גישה למיליוני קבצים ונתונים פרטיים של משתמשים.
#BingBang - פגיעות של Bing.com שהתגלתה על ידי Wiz Research
כונתה BingBang על ידי קבוצת המחקר, הפגיעות התרכזה ב-Azure Active Directory של מיקרוסופט, המשמשת ארגונים לניהול זהויות משתמשים וגישה לאפליקציות. למרבה הצער, אם אפליקציה מוגדרת בצורה שגויה, כל משתמש Azure בעולם יכול להיכנס אליה ללא האישורים המתאימים.
קָשׁוּר
- האקרים משתמשים בטריק חדש וערמומי כדי להדביק את המכשירים שלך
- הבאג הגדול הזה של אפל יכול לאפשר להאקרים לגנוב את התמונות שלך ולמחוק את המכשיר שלך
- פריצה כשירות מאפשרת להאקרים לגנוב את הנתונים שלך תמורת $10 בלבד
באופן מזעזע, ציינו החוקרים ב-a ניתוח טכני של הבאג שעד 25% מכל האפליקציות מרובות המשתמשים שהם סרקו היו פגיעות - כולל אפליקציית מיקרוסופט בשם Bing Trivia.
סרטונים מומלצים
לאחר שניצל את הפגם כדי להיכנס לאפליקציית Bing Trivia, צוות Wiz מצא מערכת ניהול תוכן (CMS) הקשורה ל-Bing.com ששולטת בתוצאות החיות של מנוע החיפוש. עם מגע של הומור, הם שינו את אחד הערכים, ושינו את התוצאה המובילה עבור 'פסקי הקול הטובים ביותר' מהתוצאה של דיונה לתוצאה מהסרט האקרים משנת 1995.
עם זאת, אין שום דבר מצחיק במה שהפגם הזה מרמז. כפי שהסבירו החוקרים, "לפיכך יכול היה שחקן זדוני שנוחת בדף אפליקציית Bing Trivia התעסק בכל מונח חיפוש והשיק מסעות פרסום שגויים, כמו גם התחזות והתחזות לאחר אתרי אינטרנט."
גניבת קבצים פרטיים ומיילים
יתרה מכך, החוקרים הצליחו להוסיף מטען חוצה אתרים (XSS) לא מזיק ל-Bing בזמן שהם היו מחוברים. זה היה מסוגל לפעול כצפוי, ללא הפרעות. לאחר דיווח על הבעיה למיקרוסופט, החוקרים ניסו לשנות את מטען ה-XSS הזה כדי לראות מה אפשרי.
כי בינג משתלב עם Microsoft 365, צוות Wiz הצליח ליצור סקריפט שעלול לגנוב אסימוני גישה של משתמש מחובר, ולהעניק לו גישה לנתוני הענן של אותו משתמש. זה יכול לכלול מיילים של Outlook, יומנים, הודעות Teams, קבצי OneDrive ועוד.
ביחד, זה אומר שלהאקר יכול להיות הכוח להפנות מחדש את תוצאות החיפוש של Bing לתוכן זדוני אתר אינטרנט, ובאותו זמן לאסוף נתונים פרטיים מכל משתמש המחובר לחשבון Microsoft 365. הכל מניצול פגיעות התחברות פשוטה.
למרבה המזל, החוקרים דיווחו מיד על הפגם למיקרוסופט והוא תוקן זמן קצר לאחר מכן, והביא לתגמול של 40,000 דולר באג. עם זאת, זו נותרה דוגמה מדאיגה לכמה מעט מאמץ יכול להידרש כדי לגנוב נתונים פרטיים ממיליוני משתמשים תמימים.
המלצות עורכים
- ניצול קריטי זה יכול לאפשר להאקרים לעקוף את ההגנות של ה-Mac שלך
- התכונה החדשה הזו של Microsoft Bing Chat מאפשרת לך לשנות את ההתנהגות שלה
- בדוק את תיבת הדואר הנכנס שלך - מיקרוסופט בדיוק שלחה את הגל הראשון של הזמנות ChatGPT Bing
- האקר גונב רשומות של מיליארד אנשים בהפרת נתונים חסרת תקדים
- האקרים כיוונו ל-AMD כדי לגנוב 450GB ענק של נתונים סודיים ביותר
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
