Bing 결함으로 해커가 검색 결과를 변경하고 파일을 훔칠 수 있음

보안 연구원은 최근 Microsoft의 상위 결과를 변경할 수 있었습니다. 빙 검색 엔진 모든 사용자의 개인 파일에 액세스하여 잠재적으로 수백만 명의 사용자를 위험에 빠뜨릴 수 있습니다. 보안되지 않은 웹 페이지에 로그인하는 것만으로도 충분했습니다.

이 익스플로잇은 클라우드 보안 회사인 Wiz 팀의 연구원 Hillai Ben-Sasson에 의해 발견되었습니다. 벤-사슨에 따르면, 이를 통해 공격자는 Bing 검색 결과를 변경할 수 있을 뿐만 아니라 수백만 사용자의 개인 파일 및 데이터에 대한 액세스 권한도 부여하게 됩니다.

연구 그룹에서는 BingBang이라고 명명한 이 취약점은 기업이 사용자 ID와 앱 액세스를 관리하는 데 사용하는 Microsoft의 Azure Active Directory를 중심으로 합니다. 안타깝게도 앱이 잘못 구성되면 전 세계 모든 Azure 사용자가 적절한 자격 증명 없이 앱에 로그인할 수 있습니다.

놀랍게도 연구자들은 기술적 분석 Bing Trivia라는 Microsoft 앱을 포함하여 검사한 모든 다중 사용자 앱 중 최대 25%가 취약한 버그를 발견했습니다.

Bing Trivia 앱에 로그인하기 위해 결함을 악용한 후 Wiz 팀은 검색 엔진의 실시간 결과를 제어하는 ​​Bing.com에 연결된 콘텐츠 관리 시스템(CMS)을 발견했습니다. 그런 다음 그들은 유머를 가미하여 항목 중 하나를 변경하여 '최고의 사운드트랙'에 대한 상위 결과를 Dune 점수에서 1995년 영화 Hackers의 점수로 변경했습니다.

하지만 이 결함이 의미하는 바는 전혀 웃기지 않습니다. 연구원들은 “따라서 Bing Trivia 앱 페이지에 방문하는 악의적인 행위자는 다음과 같은 결과를 초래할 수 있습니다. 검색어를 조작하고 잘못된 정보 캠페인을 시작했으며 다른 사람을 피싱하고 사칭했습니다. 웹사이트.”

개인 파일과 이메일을 훔치는 행위

게다가 연구원들은 로그인되어 있는 동안 Bing에 무해한 XSS(교차 사이트 스크립팅) 페이로드를 추가할 수 있었습니다. 간섭 없이 예상대로 실행될 수 있었습니다. 연구원들은 이 문제를 Microsoft에 보고한 후 무엇이 가능한지 알아보기 위해 이 XSS 페이로드를 수정해 보았습니다.

Bing은 다음과 통합되기 때문에 마이크로소프트 365, Wiz 팀은 로그인한 사용자의 액세스 토큰을 훔칠 수 있는 스크립트를 만들어 해당 사용자의 클라우드 데이터에 대한 액세스 권한을 부여할 수 있었습니다. 여기에는 다음이 포함될 수 있습니다. 아웃룩 이메일, 일정, Teams 메시지, OneDrive 파일 등.

종합하면, 이는 해커가 Bing 검색 결과를 악성 코드로 리디렉션할 수 있는 권한을 가질 수 있음을 의미합니다. 웹사이트를 방문하고 동시에 Microsoft 365 계정에 로그인한 모든 사용자로부터 개인 데이터를 수집합니다. 이 모든 것은 단순한 로그인 취약점을 악용한 결과입니다.

다행스럽게도 연구원들은 즉시 Microsoft에 결함을 보고했고, 곧 패치가 적용되어 40,000달러의 버그 현상금 보상을 받았습니다. 그러나 이는 의심하지 않는 수백만 명의 사용자로부터 개인 데이터를 훔치는 데 얼마나 적은 노력이 필요할 수 있는지 보여주는 놀라운 예입니다.

편집자의 추천

• 이 중요한 악용으로 인해 해커가 Mac의 방어를 우회할 수 있습니다.
• 이 새로운 Microsoft Bing Chat 기능을 사용하면 동작을 변경할 수 있습니다.
• 받은 편지함을 확인하세요. Microsoft는 방금 첫 번째 ChatGPT Bing 초대를 보냈습니다.
• 해커는 전례 없는 데이터 유출로 10억 명의 기록을 훔쳤습니다.
• 해커들은 AMD를 표적으로 삼아 450GB에 달하는 엄청난 양의 일급 비밀 데이터를 훔쳤습니다.

당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속해서 살펴볼 수 있도록 도와줍니다.