Una falla en Microsoft Bing podría cambiar los resultados de búsqueda
Se ha encontrado una falla de seguridad grave en los resultados de búsqueda de Bing. Afortunadamente, más miedo que daño.
Recientemente se descubrió una grave vulnerabilidad de seguridad. Esto permite a los expertos modificar a propósito los resultados de búsqueda de Bing. La vulnerabilidad fue descubierta el pasado mes de enero por la empresa de ciberseguridad Wiz, quien inmediatamente la reportó al Microsoft Security Response Center (MSRC).
Grave vulnerabilidad de seguridad detectada en los resultados de búsqueda de Bing
En una conversación de Twitter, la investigadora de Wiz, Hillay Ben-Sasson, explicó cómo logró piratear el sistema de administración de contenido (CMS) de Bing. Al conectarse a la plataforma en la nube de Microsoft Azure, descubrió que podía dar a todos los usuarios acceso a las aplicaciones internas de la empresa desde Redmond. Luego accedió a la base de datos de resultados de búsqueda de Bing. A partir de ahí, Hillay Ben-Sasson encontró una manera de cambiar lo que aparece en los resultados según lo deseado.
Los investigadores de Wiz también descubrieron que Bing es vulnerable a un ataque de secuencias de comandos entre sitios (XSS) y descubrieron que tienen acceso a datos confidenciales de Office 365, incluidos correos electrónicos de Outlook, desde el calendario y mensajes de Teams. MSRC detalló las actualizaciones de seguridad relevantes y compartió sus mejores prácticas para los desarrolladores y administradores de Azure en una publicación de blog .
Afortunadamente, más miedo que daño
El propósito de los experimentos de estos investigadores fue demostrar que esto es posible y compartirlo con Microsoft. Pero también muestra cómo los piratas informáticos podrían dañar a Bing. “Un atacante con el mismo acceso podría haber secuestrado los resultados de búsqueda más populares utilizando el mismo procedimiento y, por lo tanto, filtrado los datos de millones de usuarios”, dice la publicación del blog de Wiz.
Afortunadamente, más miedo que daño, por así decirlo, no parece haberse producido ningún daño grave. Microsoft confirmó que esta vulnerabilidad fue reparada durante el fin de semana. Y al mismo tiempo, Wiz recibió una recompensa de $ 40,000 de su programa de recompensas de búsqueda de errores por informar un error. La compañía anunció que lo donaría a una organización de su elección.
Hackeé @Bing CMS, lo que me permitió cambiar los resultados de búsqueda y controlar millones de cuentas de @Office365 .
¿Cómo lo hice? Bueno, todo comenzó con un simple clic en @Azure … ?
Esta es la historia de #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs
– Hillai Ben-Sasson (@hillai) 29 de marzo de 2023
Deja una respuesta