Met de Bing-fout kunnen hackers zoekresultaten wijzigen en uw bestanden stelen

Een beveiligingsonderzoeker heeft onlangs de topresultaten van Microsoft kunnen wijzigen Bing-zoekmachine en toegang krijgen tot de privébestanden van elke gebruiker, waardoor mogelijk miljoenen gebruikers in gevaar komen – en het enige dat nodig was, was inloggen op een onbeveiligde webpagina.

De exploit werd ontdekt door onderzoeker Hillai Ben-Sasson van hun team bij Wiz, een cloudbeveiligingsbedrijf. Volgens Ben Sasson, zou een aanvaller niet alleen de zoekresultaten van Bing kunnen wijzigen, maar hem ook toegang geven tot de privébestanden en gegevens van miljoenen gebruikers.

De kwetsbaarheid, door de onderzoeksgroep BingBang genoemd, concentreerde zich op Microsoft’s Azure Active Directory, dat door bedrijven wordt gebruikt om gebruikersidentiteiten en toegang tot apps te beheren. Als een app verkeerd is geconfigureerd, kan elke Azure-gebruiker ter wereld zich helaas aanmelden zonder de juiste inloggegevens.

Schokkend genoeg merkten de onderzoekers op in a technische Analyse van de bug bleek dat tot 25% van alle door hen gescande apps voor meerdere gebruikers kwetsbaar waren, waaronder een Microsoft-app met de naam Bing Trivia.

Na misbruik te hebben gemaakt van de fout om in te loggen op de Bing Trivia-app, vond het Wiz-team een ​​contentmanagementsysteem (CMS) gekoppeld aan Bing.com dat de live resultaten van de zoekmachine beheerde. Met een vleugje humor veranderden ze vervolgens een van de inzendingen, waardoor het topresultaat voor ‘beste soundtracks’ veranderde van de Dune-score naar die uit de film Hackers uit 1995.

Er is echter niets grappigs aan wat deze fout inhoudt. Zoals de onderzoekers uitlegden, “zou een kwaadwillende actor die op de Bing Trivia-app-pagina terechtkomt, dat kunnen hebben gedaan met welke zoekterm dan ook geknoeid en campagnes voor desinformatie gelanceerd, maar ook met phishing en het nabootsen van andere zoektermen websites.”

Privébestanden en e-mails stelen

Bovendien konden de onderzoekers een onschadelijke cross-site scripting (XSS)-payload aan Bing toevoegen terwijl ze waren ingelogd. Dit kon verlopen zoals verwacht, zonder interferentie. Nadat ze het probleem aan Microsoft hadden gemeld, probeerden de onderzoekers deze XSS-payload aan te passen om te zien wat mogelijk was.

Omdat Bing integreert met Microsoft365, kon het Wiz-team een ​​script maken dat mogelijk de toegangstokens van een ingelogde gebruiker kon stelen, waardoor deze toegang kreeg tot de cloudgegevens van die gebruiker. Dat zou kunnen omvatten Outlook-e-mails, agenda's, Teams-berichten, OneDrive-bestanden en meer.

Alles bij elkaar betekent dit dat een hacker de macht zou kunnen hebben om de zoekresultaten van Bing om te leiden naar een kwaadwillende website en verzamel tegelijkertijd privégegevens van elke gebruiker die is ingelogd op een Microsoft 365-account. Allemaal door het misbruiken van een eenvoudige inlogkwetsbaarheid.

Gelukkig rapporteerden de onderzoekers de fout onmiddellijk aan Microsoft en werd deze kort daarna hersteld, wat resulteerde in een beloning voor een bug van $ 40.000. Toch blijft het een alarmerend voorbeeld van hoe weinig moeite het kan kosten om privégegevens van miljoenen nietsvermoedende gebruikers te stelen.

Aanbevelingen van de redactie

• Door deze kritieke exploit kunnen hackers de verdediging van uw Mac omzeilen
• Met deze nieuwe Microsoft Bing Chat-functie kunt u het gedrag ervan wijzigen
• Controleer uw inbox: Microsoft heeft zojuist de eerste golf ChatGPT Bing-uitnodigingen verzonden
• Hacker steelt de gegevens van 1 miljard mensen in een ongekend datalek
• Hackers hadden het op AMD gemunt om 450 GB aan uiterst geheime gegevens te stelen

Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.