Chyba v Microsoft Bing by mohla změnit výsledky vyhledávání

Ve výsledcích vyhledávání Bing byla nalezena závažná bezpečnostní chyba. Naštěstí spíš strach než škoda.

Nedávno byla objevena závažná bezpečnostní chyba. To umožňuje odborníkům cíleně upravovat výsledky vyhledávání Bing. Zranitelnost byla objevena loni v lednu kyberbezpečnostní společností Wiz, která ji okamžitě nahlásila do centra Microsoft Security Response Center (MSRC).

Ve výsledcích vyhledávání Bing byla nalezena závažná chyba zabezpečení

V konverzaci na Twitteru výzkumník Wiz Hillay Ben-Sasson vysvětlil, jak se mu podařilo hacknout Bingův systém pro správu obsahu (CMS). Připojením ke cloudové platformě Microsoft Azure zjistil, že může všem uživatelům poskytnout přístup k interním aplikacím firmy z Redmondu. Poté vstoupil do databáze výsledků vyhledávání Bing. Odtud Hillay Ben-Sasson našel způsob, jak změnit to, co se objeví ve výsledcích, podle přání.

Výzkumníci Wiz také zjistili, že Bing je zranitelný vůči útoku cross-site scripting (XSS) a zjistili, že mají přístup k citlivým datům Office 365, včetně e-mailů z Outlooku, z kalendáře a zpráv z Teams. MSRC podrobně popsala příslušné aktualizace zabezpečení a sdílela své osvědčené postupy pro vývojáře a správce Azure v příspěvku na blogu .

Naštěstí spíš strach než škoda

Účelem experimentů těchto výzkumníků bylo ukázat, že je to možné, a sdílet to s Microsoftem. Ale také ukazuje, jak by hackeři mohli Bing poškodit. „Útočník se stejným přístupem mohl stejným postupem unést nejoblíbenější výsledky vyhledávání a uniknout tak data milionů uživatelů,“ píše se na blogu Wiz.

Naštěstí více strachu než škody, abych tak řekl, k žádné vážné újmě zřejmě nedošlo. Společnost Microsoft potvrdila, že tato chyba zabezpečení byla o víkendu opravena. A ve stejnou dobu Wiz obdržel odměnu 40 000 $ od svého bounty programu na hledání chyb za nahlášení chyby. Společnost oznámila, že jej daruje organizaci dle vlastního výběru.

Hacknul jsem @Bing CMS, což mi umožnilo změnit výsledky vyhledávání a převzít miliony účtů @Office365 .
jak jsem to udělal? No, všechno to začalo jednoduchým kliknutím na @Azure … ?
Toto je příběh #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 29. března 2023