Microsoft Bingi viga võib otsingutulemusi muuta
Bingi otsingutulemustes leiti tõsine turvaviga. Õnneks rohkem hirmu kui kahju.
Hiljuti avastati tõsine turvaauke. See võimaldab ekspertidel Bingi otsingutulemusi sihipäraselt muuta . Haavatavuse avastas mullu jaanuaris küberturbefirma Wiz, kes teatas sellest kohe Microsofti turvareageerimiskeskusele (MSRC).
Bingi otsingutulemustest leiti tõsine turvaauke
Wizi teadur Hillay Ben-Sasson selgitas Twitteri vestluses, kuidas tal õnnestus Bingi sisuhaldussüsteemi (CMS) häkkida. Ühenduse loomisel Microsoft Azure’i pilveplatvormiga avastas ta, et suudab anda kõigile kasutajatele juurdepääsu ettevõtte sisemistele rakendustele Redmondist. Seejärel pääses ta juurde Bingi otsingutulemuste andmebaasile. Sealt edasi leidis Hillay Ben-Sasson võimaluse muuta tulemustes nähtavat vastavalt soovile.
Wizi teadlased avastasid ka, et Bing on haavatav saidiülese skriptimise (XSS) rünnaku suhtes, ja avastasid, et neil on juurdepääs tundlikele Office 365 andmetele, sealhulgas Outlooki meilidele, kalendrist ja Teamsi sõnumitele. MSRC kirjeldas üksikasjalikult asjakohaseid turvavärskendusi ja jagas oma parimaid tavasid Azure’i arendajatele ja administraatoritele blogipostituses .
Õnneks rohkem hirmu kui kahju
Nende teadlaste katsete eesmärk oli näidata, et see on võimalik, ja jagada seda Microsoftiga. Kuid see näitab ka seda, kuidas häkkerid võivad Bingi kahjustada. “Sama juurdepääsuga ründaja oleks võinud sama protseduuri abil kaaperdada kõige populaarsemad otsingutulemused ja seeläbi lekkida miljonite kasutajate andmed,” öeldakse Wizi ajaveebi postituses.
Õnneks rohkem hirmu kui kahju, nii-öelda tõsist kahju ei paista olevat tehtud. Microsoft kinnitas, et see haavatavus parandati nädalavahetusel. Ja samal ajal sai Wiz oma veaotsingu programmist veast teatamise eest 40 000 dollari suuruse preemia. Ettevõte teatas, et annetab selle enda valitud organisatsioonile.
Häkkisin @Bing CMS-i, mis võimaldas mul muuta otsingutulemusi ja võtta üle miljoneid @Office365 kontosid.
Kuidas ma seda tegin? Noh, kõik algas lihtsa klõpsuga saidil @Azure … ? See on #BingBangi
lugu ?⬇️ pic.twitter.com/9pydWvHhJs
— Hillai Ben-Sasson (@hillai) 29. märts 2023
Lisa kommentaar