Un exploit a été découvert dans Bing qui permet de manipuler les résultats de recherche de Bing et d'accéder aux comptes Outlook.
Au début de l'année, une vulnérabilité a été découverte dans Microsoft Bing, permettant à des pirates de modifier les résultats de recherche et d'accéder aux informations personnelles des utilisateurs de Bing dans des services tels que Teams, Outlook et Office 365. En janvier, les experts en sécurité de Wiz ont découvert une vulnérabilité dans la configuration d'Azure, la plateforme d'informatique en nuage, qui compromettait Bing.
Voici ce que nous savons
La vulnérabilité a été découverte dans le service Azure Active Directory. Les applications qui utilisent les autorisations multi-utilisateurs de la plateforme sont accessibles à n'importe quel utilisateur Azure, et les développeurs doivent donc vérifier quels utilisateurs ont accès à leurs applications. Cependant, cette vérification n'est généralement pas effectuée, ce qui crée des failles potentielles pour les pirates. Selon une étude de Wiz, environ 25 % des utilisateurs rencontrent des problèmes à cet égard.
L'une de ces applications est Bing Trivia. Les chercheurs ont pu se connecter à l'application en utilisant leurs propres comptes Azure, où ils ont découvert un système de gestion de contenu (CMS) qui leur a permis de contrôler les résultats de recherche en direct sur Bing.com. Wiz souligne que quiconque accède à la page de l'application Bing Trivia peut potentiellement manipuler les résultats de recherche de Bing pour lancer des campagnes de désinformation ou d'hameçonnage.
Wiz recommande aux organisations disposant d'applications Azure Active Directory de vérifier leurs journaux d'applications pour détecter toute connexion suspecte qui pourrait indiquer une faille de sécurité.
Source : The Verge The Verge