В Bing был обнаружен эксплойт, который позволял манипулировать результатами поиска и получать доступ к учетным записям Outlook

В начале этого года в Microsoft Bing была обнаружена уязвимость, которая позволяла злоумышленникам изменять результаты поиска и получать доступ к личной информации пользователей Bing в службах, как вот Teams, Outlook и Office 365. Еще в январе специалисты по безопасности Wiz обнаружили уязвимость в конфигурации Azure - облачной вычислительной платформе, которая, собственно, и скомпрометировала Bing.

Что известно

Уязвимость была обнаружена в службе Azure Active Directory. Программы, которые используют многопользовательские разрешения платформы, доступны любому пользователю Azure, поэтому разработчики должны проверить, какие пользователи имеют доступ к их программам. Но обычно такая проверка не выполняется, что и создает потенциальные лазейки для хакеров. Согласно исследованию Wiz, около 25% пользователей имеют с этим проблемы.

Я взломал @Bing CMS, что позволило мне изменить результаты поиска и захватить миллионы аккаунтов @Office365.
Как я это сделал? Ну, все началось с простого клика в @Azure... ????
Это история #BingBang _COPY01⬇️ pic.twitter.com/9pydWvHhJs

- Hillai Ben-Sasson (@hillai) 29 марта 2023 г.

Одно из таких приложений - Bing Trivia. Исследователи смогли войти в программу с помощью собственных учетных записей Azure, где они обнаружили систему управления содержимым (CMS), которая позволяла контролировать живые результаты поиска на Bing.com. Wiz подчеркивает, что каждый, кто перешел на страницу приложения Bing Trivia, мог потенциально манипулировать результатами поиска Bing с целью запуска дезинформационных или фишинговых кампаний.

Wiz рекомендует организациям с приложениями Azure Active Directory проверять журналы своих приложений на наличие любых подозрительных входов, которые могут указывать на нарушение безопасности.

Источник: The Verge