В Bing було виявлено експлойт, який дозволяв маніпулювати результатами пошуку та отримувати доступ до облікових записів Outlook
На початку цього року в Microsoft Bing було виявлено вразливість, яка дозволяла зловмисникам змінювати результати пошуку та отримувати доступ до особистої інформації користувачів Bing у службах як ось Teams, Outlook та Office 365. Ще в січні фахівці з безпеки Wiz виявили вразливість в конфігурації Azure - хмарній обчислювальній платформі, яка, власне, й скомпроментувала Bing.
Що відомо
Вразливість була виявлена в службі Azure Active Directory. Програми, які використовують багатокористувальницькі дозволи платформи, доступні будь-якому користувачеві Azure, тому розробники мають перевірити, які користувачі мають доступ до їхніх програм. Але зазвичай така перевірка не виконується, що й створює потенційні лазівки для хакерів. Згідно з дослідженням Wiz, близько 25% користувачів мають з цим проблеми.
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
— Hillai Ben-Sasson (@hillai) March 29, 2023
How did I do it? Well, it all started with a simple click in @Azure… ????
This is the story of #BingBang ????⬇️ pic.twitter.com/9pydWvHhJs
Один з таких додатків - Bing Trivia. Дослідники змогли увійти в програму за допомогою власних облікових записів Azure, де вони виявили систему керування вмістом (CMS), яка дозволяла контролювати живі результати пошуку на Bing.com. Wiz підкреслює, що кожен, хто перейшов на сторінку програми Bing Trivia, міг потенційно маніпулювати результатами пошуку Bing з метою запуску дезінформаційних або фішингових кампаній.
Wiz рекомендує організаціям із програмами Azure Active Directory перевіряти журнали своїх програм на наявність будь-яких підозрілих входів, які можуть вказувати на порушення безпеки.
Джерело: The Verge