Se descubrió un exploit en Bing que permitía manipular los resultados de búsqueda de Bing y obtener acceso a cuentas de Outlook.
A principios de este año, se descubrió una vulnerabilidad en Microsoft Bing que permitía a los atacantes modificar los resultados de búsqueda y acceder a información personal de los usuarios de Bing en servicios como Teams, Outlook y Office 365. Ya en enero, los expertos en seguridad de Wiz descubrieron una vulnerabilidad en la configuración de Azure, la plataforma de computación en la nube que comprometía realmente a Bing.
Esto es lo que sabemos
La vulnerabilidad se descubrió en el servicio Azure Active Directory. Las aplicaciones que utilizan los permisos multiusuario de la plataforma están disponibles para cualquier usuario de Azure, por lo que los desarrolladores deben comprobar qué usuarios tienen acceso a sus aplicaciones. Sin embargo, esta comprobación no se suele realizar, lo que crea potenciales lagunas para los hackers. Según un estudio de Wiz, alrededor del 25% de los usuarios tienen problemas con esto.
He hackeado un CMS de @Bing que me ha permitido alterar los resultados de búsqueda y apoderarme de millones de cuentas de @Office365.
- Hillai Ben-Sasson (@hillai) 29 de marzo de 2023
¿Cómo lo he hecho? Bueno, todo empezó con un simple clic en @Azure... ????
Esta es la historia de #BingBang ⬇️ pic.twitter.com/9pydWvHhJs
Una de estas aplicaciones es Bing Trivia. Los investigadores pudieron entrar en la aplicación utilizando sus propias cuentas de Azure, donde descubrieron un sistema de gestión de contenidos (CMS) que les permitía controlar los resultados de búsqueda en directo en Bing.com. Wiz subraya que cualquiera que accediera a la página de la aplicación Bing Trivia podría potencialmente manipular los resultados de búsqueda de Bing para lanzar campañas de desinformación o phishing.
Wiz recomienda que las organizaciones con aplicaciones Azure Active Directory comprueben los registros de sus aplicaciones para detectar cualquier inicio de sesión sospechoso que pudiera indicar una brecha de seguridad.
Fuente: The Verge
