Microsoft Bingi viga võib otsingutulemusi muuta

Microsoft Bingi viga võib otsingutulemusi muuta

Bingi otsingutulemustes leiti tõsine turvaviga. Õnneks rohkem hirmu kui kahju.

Hiljuti avastati tõsine turvaauke. See võimaldab ekspertidel Bingi otsingutulemusi sihipäraselt muuta . Haavatavuse avastas mullu jaanuaris küberturbefirma Wiz, kes teatas sellest kohe Microsofti turvareageerimiskeskusele (MSRC).

Bingi otsingutulemustest leiti tõsine turvaauke

Wizi teadur Hillay Ben-Sasson selgitas Twitteri vestluses, kuidas tal õnnestus Bingi sisuhaldussüsteemi (CMS) häkkida. Ühenduse loomisel Microsoft Azure’i pilveplatvormiga avastas ta, et suudab anda kõigile kasutajatele juurdepääsu ettevõtte sisemistele rakendustele Redmondist. Seejärel pääses ta juurde Bingi otsingutulemuste andmebaasile. Sealt edasi leidis Hillay Ben-Sasson võimaluse muuta tulemustes nähtavat vastavalt soovile.

Wizi teadlased avastasid ka, et Bing on haavatav saidiülese skriptimise (XSS) rünnaku suhtes, ja avastasid, et neil on juurdepääs tundlikele Office 365 andmetele, sealhulgas Outlooki meilidele, kalendrist ja Teamsi sõnumitele. MSRC kirjeldas üksikasjalikult asjakohaseid turvavärskendusi ja jagas oma parimaid tavasid Azure’i arendajatele ja administraatoritele blogipostituses .

Õnneks rohkem hirmu kui kahju

Nende teadlaste katsete eesmärk oli näidata, et see on võimalik, ja jagada seda Microsoftiga. Kuid see näitab ka seda, kuidas häkkerid võivad Bingi kahjustada. “Sama juurdepääsuga ründaja oleks võinud sama protseduuri abil kaaperdada kõige populaarsemad otsingutulemused ja seeläbi lekkida miljonite kasutajate andmed,” öeldakse Wizi ajaveebi postituses.

Õnneks rohkem hirmu kui kahju, nii-öelda tõsist kahju ei paista olevat tehtud. Microsoft kinnitas, et see haavatavus parandati nädalavahetusel. Ja samal ajal sai Wiz oma veaotsingu programmist veast teatamise eest 40 000 dollari suuruse preemia. Ettevõte teatas, et annetab selle enda valitud organisatsioonile.

Häkkisin @Bing CMS-i, mis võimaldas mul muuta otsingutulemusi ja võtta üle miljoneid @Office365 kontosid.
Kuidas ma seda tegin? Noh, kõik algas lihtsa klõpsuga saidil @Azure … ? See on #BingBangi
lugu ?⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 29. märts 2023

News
admin

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga

Parimad kalorite lugemise rakendused iPhone'ile ja iPadile 2023. aastal
ARK: Survival Ascended, ARK: Survival Evolved Remastered Unreal Engine 5 abil
Parandage viga 0x8007001F Microsoft Store’is

Parandage viga 0x8007001F Microsoft Store’is

  • 19 mai 2023
  • 92
Pärast 40 aastat kaotatakse Microsofti kaubamärgiga hiired ja klaviatuurid järk-järgult turult

Pärast 40 aastat kaotatakse Microsofti kaubamärgiga hiired ja klaviatuurid järk-järgult turult

  • 28 apr. 2023
  • 99
Pärast 40 aastat kaotatakse Microsofti kaubamärgiga hiired ja klaviatuurid järk-järgult turult

Pärast 40 aastat kaotatakse Microsofti kaubamärgiga hiired ja klaviatuurid järk-järgult turult

  • 28 apr. 2023
  • 66