In Bing wurde eine Sicherheitslücke entdeckt, die die Manipulation von Bing-Suchergebnissen und den Zugriff auf Outlook-Konten ermöglicht

Von: Dmitro Koval | 30.03.2023, 22:52

Anfang des Jahres wurde eine Schwachstelle in Microsoft Bing entdeckt, die es Angreifern ermöglichte, Suchergebnisse zu ändern und auf persönliche Informationen von Bing-Nutzern in Diensten wie Teams, Outlook und Office 365 zuzugreifen. Im Januar entdeckten die Sicherheitsexperten von Wiz eine Schwachstelle in der Konfiguration von Azure, der Cloud-Computing-Plattform, durch die Bing tatsächlich gefährdet wurde.

Was wir wissen

Die Sicherheitslücke wurde im Azure Active Directory-Dienst entdeckt. Anwendungen, die die Multi-User-Berechtigungen der Plattform nutzen, stehen jedem Azure-Benutzer zur Verfügung, sodass Entwickler überprüfen sollten, welche Benutzer Zugriff auf ihre Anwendungen haben. Diese Überprüfung wird jedoch in der Regel nicht durchgeführt, was Hackern potenzielle Schlupflöcher eröffnet. Laut einer Wiz-Studie haben etwa 25 % der Nutzer damit Probleme.

Eine dieser Anwendungen ist Bing Trivia. Die Forscher konnten sich mit ihren eigenen Azure-Konten in die App einloggen und entdeckten dort ein Content-Management-System (CMS), mit dem sie die Live-Suchergebnisse auf Bing.com kontrollieren konnten. Wiz betont, dass jeder, der auf die Bing Trivia-App-Seite zugreift, potenziell Bing-Suchergebnisse manipulieren könnte, um Desinformations- oder Phishing-Kampagnen zu starten.

Wiz empfiehlt Unternehmen mit Azure Active Directory-Apps, ihre App-Protokolle auf verdächtige Logins zu überprüfen, die auf eine Sicherheitsverletzung hindeuten könnten.

Quelle: The Verge