Raziskovalec varnosti je nedavno lahko spremenil vrhunske rezultate v Microsoftu Iskalnik Bing in dostopati do zasebnih datotek katerega koli uporabnika, kar bi lahko ogrozilo milijone uporabnikov – in vse, kar je bilo potrebno, je bila prijava na nezavarovano spletno stran.
Izkoriščanje je odkril raziskovalec Hillai Ben-Sasson iz njihove ekipe pri Wizu, podjetju za varnost v oblaku. Po mnenju Ben-Sassona, napadalcu ne bi omogočil le spreminjanja rezultatov iskanja Bing, temveč bi mu omogočil tudi dostop do milijonov zasebnih datotek in podatkov uporabnikov.
#BingBang – ranljivost Bing.com, ki jo je odkril Wiz Research
Ranljivost, ki jo je raziskovalna skupina poimenovala BingBang, je osredotočena na Microsoftov imenik Azure Active Directory, ki ga podjetja uporabljajo za upravljanje identitet uporabnikov in dostop do aplikacij. Na žalost, če je aplikacija napačno konfigurirana, se lahko vsak uporabnik Azure na svetu prijavi vanjo brez ustreznih poverilnic.
Povezano
- Hekerji uporabljajo zvit nov trik za okužbo vaših naprav
- Ta velika Applova napaka bi lahko hekerjem omogočila krajo vaših fotografij in brisanje vaše naprave
- Hekanje kot storitev omogoča hekerjem krajo vaših podatkov za samo 10 USD
Šokantno so ugotovili raziskovalci v a tehnična analiza hrošča, da je bilo do 25 % vseh večuporabniških aplikacij, ki so jih pregledali, ranljivih – vključno z Microsoftovo aplikacijo z imenom Bing Trivia.
Priporočeni videoposnetki
Po izkoriščanju napake za prijavo v aplikacijo Bing Trivia je ekipa Wiz našla sistem za upravljanje vsebin (CMS), povezan z Bing.com, ki je nadzoroval rezultate iskalnika v živo. S kančkom humorja so nato spremenili enega od vnosov, pri čemer so spremenili najboljši rezultat za 'najboljše zvočne posnetke' iz Dune v tisto iz filma Hekerji iz leta 1995.
Vendar pa ni nič smešnega v tem, kaj pomeni ta napaka. Kot so pojasnili raziskovalci, »zlonamerni akter, ki pristane na strani aplikacije Bing Trivia, bi torej lahko imel spreminjal kateri koli iskalni izraz in sprožil kampanje z napačnimi informacijami ter lažno predstavljal in lažno predstavljal druge spletne strani.”
Kraja zasebnih datotek in e-pošte
Še več, raziskovalci so lahko v Bing dodali neškodljivo skriptno obremenitev med spletnimi mesti (XSS), medtem ko so bili prijavljeni. To je delovalo po pričakovanjih, brez motenj. Potem ko so težavo prijavili Microsoftu, so raziskovalci poskusili spremeniti to koristno obremenitev XSS, da bi videli, kaj je mogoče.
Ker se Bing integrira z Microsoft 365, je ekipi Wiz uspelo ustvariti skript, ki bi potencialno lahko ukradel žetone za dostop prijavljenega uporabnika in mu tako omogočil dostop do podatkov v oblaku tega uporabnika. To bi lahko vključevalo Outlookova e-poštna sporočila, koledarji, sporočila Teams, datoteke OneDrive in drugo.
Skupaj to pomeni, da bi lahko heker lahko preusmeril rezultate iskanja Bing na zlonamerno spletno mesto in hkrati zbira zasebne podatke katerega koli uporabnika, ki je prijavljen v račun Microsoft 365. Vse zaradi izkoriščanja preproste ranljivosti pri prijavi.
Na srečo so raziskovalci napako nemudoma prijavili Microsoftu in kmalu zatem so jo popravili, kar je prineslo nagrado za napake v višini 40.000 USD. Kljub temu ostaja zaskrbljujoč primer, kako malo truda je potrebno za krajo zasebnih podatkov milijonov nič hudega slutečih uporabnikov.
Priporočila urednikov
- Ta kritični podvig lahko hekerjem omogoči, da zaobidejo obrambo vašega Maca
- Ta nova funkcija Microsoft Bing Chat vam omogoča, da spremenite njegovo vedenje
- Preverite svojo mapo »Prejeto« – Microsoft je pravkar poslal prvi val povabil ChatGPT Bing
- Heker je ukradel zapise 1 milijarde ljudi s kršitvijo podatkov brez primere
- Hekerji so AMD ciljali na krajo ogromnih 450 GB strogo zaupnih podatkov
Nadgradite svoj življenjski slogDigitalni trendi pomagajo bralcem slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
