В Bing було виявлено експлойт, який дозволяв маніпулювати результатами пошуку та отримувати доступ до облікових записів Outlook

Автор: Дмитро Коваль | 30 березня 2023, 22:52

На початку цього року в Microsoft Bing було виявлено вразливість, яка дозволяла зловмисникам змінювати результати пошуку та отримувати доступ до особистої інформації користувачів Bing у службах як ось Teams, Outlook та Office 365. Ще в січні фахівці з безпеки Wiz виявили вразливість в конфігурації Azure - хмарній обчислювальній платформі, яка, власне, й скомпроментувала Bing.

Що відомо

Вразливість була виявлена в службі Azure Active Directory. Програми, які використовують багатокористувальницькі дозволи платформи, доступні будь-якому користувачеві Azure, тому розробники мають перевірити, які користувачі мають доступ до їхніх програм. Але зазвичай така перевірка не виконується, що й створює потенційні лазівки для хакерів. Згідно з дослідженням Wiz, близько 25% користувачів мають з цим проблеми.

Один з таких додатків - Bing Trivia. Дослідники змогли увійти в програму за допомогою власних облікових записів Azure, де вони виявили систему керування вмістом (CMS), яка дозволяла контролювати живі результати пошуку на Bing.com. Wiz підкреслює, що кожен, хто перейшов на сторінку програми Bing Trivia, міг потенційно маніпулювати результатами пошуку Bing з метою запуску дезінформаційних або фішингових кампаній.

Wiz рекомендує організаціям із програмами Azure Active Directory перевіряти журнали своїх програм на наявність будь-яких підозрілих входів, які можуть вказувати на порушення безпеки.

Джерело: The Verge