En fejl i Microsoft Bing kan ændre søgeresultaterne

En fejl i Microsoft Bing kan ændre søgeresultaterne

Der er fundet en alvorlig sikkerhedsfejl i Bing-søgeresultaterne. Heldigvis mere frygt end skade.

En alvorlig sikkerhedssårbarhed blev for nylig opdaget. Dette giver eksperter mulighed for målrettet at ændre Bing- søgeresultater. Sårbarheden blev opdaget i januar sidste år af cybersikkerhedsvirksomheden Wiz, som straks rapporterede den til Microsoft Security Response Center (MSRC).

Alvorlig sikkerhedssårbarhed fundet i Bing-søgeresultater

I en Twitter-samtale forklarede Wiz-forsker Hillay Ben-Sasson, hvordan det lykkedes ham at hacke Bings indholdsstyringssystem (CMS). Ved at oprette forbindelse til Microsoft Azure cloud-platformen fandt han ud af, at han kunne give alle brugere adgang til firmaets interne applikationer fra Redmond. Han fik derefter adgang til Bing-søgeresultatdatabasen. Derfra fandt Hillay Ben-Sasson en måde at ændre, hvad der vises i resultaterne som ønsket.

Wiz-forskere opdagede også, at Bing er sårbar over for et cross-site scripting (XSS)-angreb og fandt ud af, at de har adgang til følsomme Office 365-data, inklusive Outlook-e-mails, fra kalenderen og beskeder fra Teams. MSRC detaljerede de relevante sikkerhedsopdateringer og delte sin bedste praksis for Azure-udviklere og -administratorer i et blogindlæg .

Heldigvis mere frygt end skade

Formålet med disse forskeres eksperimenter var at vise, at dette er muligt og dele det med Microsoft. Men det viser også, hvordan hackere kan skade Bing. “En angriber med samme adgang kunne have kapret de mest populære søgeresultater ved hjælp af samme procedure og derved lækket data fra millioner af brugere,” står der i Wiz-blogposten.

Heldigvis, mere frygt end skade, så at sige, synes der ikke at være sket nogen alvorlig skade. Microsoft bekræftede, at denne sårbarhed blev rettet i løbet af weekenden. Og på samme tid modtog Wiz en dusør på $40.000 fra sit bug-finding-bounty-program for at rapportere en fejl. Selskabet meddelte, at det ville donere det til en organisation efter eget valg.

Jeg hackede @Bing CMS, hvilket gjorde det muligt for mig at ændre søgeresultater og overtage millioner af @Office365- konti.
Hvordan gjorde jeg det? Nå, det hele startede med et enkelt klik på @Azure … ?
Dette er historien om #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 29. marts 2023

News
admin

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

De bedste kalorietællingsapps til iPhone og iPad i 2023
ARK: Survival Ascended, ARK: Survival Evolved Remastered med Unreal Engine 5
Reparer fejl 0x8007001F i Microsoft Store

Reparer fejl 0x8007001F i Microsoft Store

  • 19 maj 2023
  • 91
Efter 40 år er Microsoft-mærket mus og tastaturer ved at blive udfaset

Efter 40 år er Microsoft-mærket mus og tastaturer ved at blive udfaset

  • 28 apr 2023
  • 82
SwiftKey til iOS var død, og det er Bing Chat nu også.

SwiftKey til iOS var død, og det er Bing Chat nu også.

  • 14 apr 2023
  • 63