Microsoft Bingin virhe voi muuttaa hakutuloksia

Microsoft Bingin virhe voi muuttaa hakutuloksia

Bingin hakutuloksista on löydetty vakava tietoturvavirhe. Onneksi enemmän pelkoa kuin haittaa.

Äskettäin löydettiin vakava tietoturvahaavoittuvuus. Näin asiantuntijat voivat tarkoituksella muokata Bingin hakutuloksia. Kyberturvallisuusyhtiö Wiz havaitsi haavoittuvuuden viime tammikuussa ja ilmoitti siitä välittömästi Microsoft Security Response Centerille (MSRC).

Bingin hakutuloksista löytyi vakava tietoturvaheikkous

Wiz-tutkija Hillay Ben-Sasson selitti Twitterissä, kuinka hän onnistui hakkeroimaan Bingin sisällönhallintajärjestelmän (CMS). Yhdistämällä Microsoft Azure -pilvialustaan ​​hän huomasi voivansa antaa kaikille käyttäjille pääsyn yrityksen sisäisiin sovelluksiin Redmondista. Sitten hän pääsi Bingin hakutulostietokantaan. Sieltä Hillay Ben-Sasson löysi tavan muuttaa tuloksissa näkyvää haluamallasi tavalla.

Wiz-tutkijat havaitsivat myös, että Bing on alttiina cross-site scripting (XSS) -hyökkäykselle, ja havaitsivat, että heillä on pääsy arkaluontoisiin Office 365 -tietoihin, mukaan lukien Outlook-sähköpostit, kalenterista ja Teamsin viesteihin. MSRC esitti asianmukaiset tietoturvapäivitykset ja jakoi parhaat käytännöt Azure-kehittäjille ja järjestelmänvalvojille blogikirjoituksessa .

Onneksi enemmän pelkoa kuin haittaa

Näiden tutkijoiden kokeiden tarkoituksena oli osoittaa, että tämä on mahdollista, ja jakaa se Microsoftin kanssa. Mutta se osoittaa myös, kuinka hakkerit voivat vahingoittaa Bingiä. ”Hyökkääjä, jolla on sama käyttöoikeus, olisi voinut kaapata suosituimmat hakutulokset samalla menettelyllä ja siten vuotaa miljoonien käyttäjien tiedot”, Wiz-blogiviestissä sanotaan.

Onneksi niin sanotusti enemmän pelkoa kuin haittaa, vakavaa vahinkoa ei näytä olevan tapahtunut. Microsoft vahvisti, että tämä haavoittuvuus korjattiin viikonloppuna. Ja samaan aikaan Wiz sai 40 000 dollarin palkkion vianetsintäohjelmastaan ​​virheen ilmoittamisesta. Yhtiö ilmoitti lahjoittavansa sen valitsemalleen organisaatiolle.

Hakkeroin @Bing CMS:n, mikä antoi minulle mahdollisuuden muuttaa hakutuloksia ja hallita miljoonia @Office365 -tilejä.
Miten tein sen? No, kaikki alkoi yksinkertaisella napsautuksella @Azuressa … ?
Tämä on tarina #BingBangista ?⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 29. maaliskuuta 2023

News
admin

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Parhaat kalorienlaskentasovellukset iPhonelle ja iPadille vuonna 2023
ARK: Survival Ascended, ARK: Survival Evolved Remastered Unreal Engine 5:llä
Korjaa virhe 0x8007001F Microsoft Storessa

Korjaa virhe 0x8007001F Microsoft Storessa

  • 19 touko 2023
  • 122
40 vuoden jälkeen Microsoftin merkkiset hiiret ja näppäimistöt poistetaan käytöstä

40 vuoden jälkeen Microsoftin merkkiset hiiret ja näppäimistöt poistetaan käytöstä

  • 28 huhti 2023
  • 124
40 vuoden jälkeen Microsoftin merkkiset hiiret ja näppäimistöt poistetaan käytöstä

40 vuoden jälkeen Microsoftin merkkiset hiiret ja näppäimistöt poistetaan käytöstä

  • 28 huhti 2023
  • 145