En fejl i Microsoft Bing kan ændre søgeresultaterne
Der er fundet en alvorlig sikkerhedsfejl i Bing-søgeresultaterne. Heldigvis mere frygt end skade.
En alvorlig sikkerhedssårbarhed blev for nylig opdaget. Dette giver eksperter mulighed for målrettet at ændre Bing- søgeresultater. Sårbarheden blev opdaget i januar sidste år af cybersikkerhedsvirksomheden Wiz, som straks rapporterede den til Microsoft Security Response Center (MSRC).
Alvorlig sikkerhedssårbarhed fundet i Bing-søgeresultater
I en Twitter-samtale forklarede Wiz-forsker Hillay Ben-Sasson, hvordan det lykkedes ham at hacke Bings indholdsstyringssystem (CMS). Ved at oprette forbindelse til Microsoft Azure cloud-platformen fandt han ud af, at han kunne give alle brugere adgang til firmaets interne applikationer fra Redmond. Han fik derefter adgang til Bing-søgeresultatdatabasen. Derfra fandt Hillay Ben-Sasson en måde at ændre, hvad der vises i resultaterne som ønsket.
Wiz-forskere opdagede også, at Bing er sårbar over for et cross-site scripting (XSS)-angreb og fandt ud af, at de har adgang til følsomme Office 365-data, inklusive Outlook-e-mails, fra kalenderen og beskeder fra Teams. MSRC detaljerede de relevante sikkerhedsopdateringer og delte sin bedste praksis for Azure-udviklere og -administratorer i et blogindlæg .
Heldigvis mere frygt end skade
Formålet med disse forskeres eksperimenter var at vise, at dette er muligt og dele det med Microsoft. Men det viser også, hvordan hackere kan skade Bing. “En angriber med samme adgang kunne have kapret de mest populære søgeresultater ved hjælp af samme procedure og derved lækket data fra millioner af brugere,” står der i Wiz-blogposten.
Heldigvis, mere frygt end skade, så at sige, synes der ikke at være sket nogen alvorlig skade. Microsoft bekræftede, at denne sårbarhed blev rettet i løbet af weekenden. Og på samme tid modtog Wiz en dusør på $40.000 fra sit bug-finding-bounty-program for at rapportere en fejl. Selskabet meddelte, at det ville donere det til en organisation efter eget valg.
Jeg hackede @Bing CMS, hvilket gjorde det muligt for mig at ændre søgeresultater og overtage millioner af @Office365- konti.
Hvordan gjorde jeg det? Nå, det hele startede med et enkelt klik på @Azure … ?
Dette er historien om #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs
— Hillai Ben-Sasson (@hillai) 29. marts 2023
Skriv et svar