In Bing wurde eine Sicherheitslücke entdeckt, die die Manipulation von Bing-Suchergebnissen und den Zugriff auf Outlook-Konten ermöglicht
Anfang des Jahres wurde eine Schwachstelle in Microsoft Bing entdeckt, die es Angreifern ermöglichte, Suchergebnisse zu ändern und auf persönliche Informationen von Bing-Nutzern in Diensten wie Teams, Outlook und Office 365 zuzugreifen. Im Januar entdeckten die Sicherheitsexperten von Wiz eine Schwachstelle in der Konfiguration von Azure, der Cloud-Computing-Plattform, durch die Bing tatsächlich gefährdet wurde.
Was wir wissen
Die Sicherheitslücke wurde im Azure Active Directory-Dienst entdeckt. Anwendungen, die die Multi-User-Berechtigungen der Plattform nutzen, stehen jedem Azure-Benutzer zur Verfügung, sodass Entwickler überprüfen sollten, welche Benutzer Zugriff auf ihre Anwendungen haben. Diese Überprüfung wird jedoch in der Regel nicht durchgeführt, was Hackern potenzielle Schlupflöcher eröffnet. Laut einer Wiz-Studie haben etwa 25 % der Nutzer damit Probleme.
Ich habe mich in ein @Bing CMS gehackt, das es mir ermöglichte, Suchergebnisse zu verändern und Millionen von @Office365-Konten zu übernehmen.
- Hillai Ben-Sasson (@hillai) 29. März 2023
Wie habe ich das gemacht? Nun, es begann alles mit einem einfachen Klick in @Azure... ????
Dies ist die Geschichte von #BingBang ⬇️ pic.twitter.com/9pydWvHhJs
Eine dieser Anwendungen ist Bing Trivia. Die Forscher konnten sich mit ihren eigenen Azure-Konten in die App einloggen und entdeckten dort ein Content-Management-System (CMS), mit dem sie die Live-Suchergebnisse auf Bing.com kontrollieren konnten. Wiz betont, dass jeder, der auf die Bing Trivia-App-Seite zugreift, potenziell Bing-Suchergebnisse manipulieren könnte, um Desinformations- oder Phishing-Kampagnen zu starten.
Wiz empfiehlt Unternehmen mit Azure Active Directory-Apps, ihre App-Protokolle auf verdächtige Logins zu überprüfen, die auf eine Sicherheitsverletzung hindeuten könnten.
Quelle: The Verge
