È stato scoperto un exploit in Bing che permetteva di manipolare i risultati di ricerca di Bing e di accedere agli account di Outlook.
All'inizio di quest'anno è stata scoperta una vulnerabilità in Microsoft Bing che consentiva agli aggressori di modificare i risultati delle ricerche e di accedere alle informazioni personali degli utenti di Bing in servizi come Teams, Outlook e Office 365. A gennaio, gli esperti di sicurezza di Wiz hanno scoperto una vulnerabilità nella configurazione di Azure, la piattaforma di cloud computing che ha effettivamente compromesso Bing.
Ecco cosa sappiamo
La vulnerabilità è stata scoperta nel servizio Azure Active Directory. Le applicazioni che utilizzano le autorizzazioni multiutente della piattaforma sono disponibili per qualsiasi utente di Azure, quindi gli sviluppatori dovrebbero verificare quali utenti hanno accesso alle loro applicazioni. Tuttavia, questo controllo di solito non viene eseguito, creando così potenziali scappatoie per gli hacker. Secondo uno studio di Wiz, circa il 25% degli utenti ha problemi in questo senso.
Ho violato un CMS di @Bing che mi ha permesso di alterare i risultati delle ricerche e di impossessarmi di milioni di account @Office365.
- Hillai Ben-Sasson (@hillai) 29 marzo 2023
Come ho fatto? Beh, tutto è iniziato con un semplice clic in @Azure... ????
Questa è la storia di #BingBang ⬇️ pic.twitter.com/9pydWvHhJs
Una di queste applicazioni è Bing Trivia. I ricercatori sono riusciti ad accedere all'applicazione utilizzando i propri account Azure, dove hanno scoperto un sistema di gestione dei contenuti (CMS) che ha permesso loro di controllare i risultati di ricerca in tempo reale su Bing.com. Wiz sottolinea che chiunque acceda alla pagina dell'app Bing Trivia potrebbe potenzialmente manipolare i risultati di ricerca di Bing per lanciare campagne di disinformazione o di phishing.
Wiz raccomanda alle organizzazioni con applicazioni Azure Active Directory di controllare i log delle applicazioni per individuare eventuali accessi sospetti che potrebbero indicare una violazione della sicurezza.
Fonte: The Verge