Une faille dans Microsoft Bing pourrait modifier les résultats de recherche

Une grave faille de sécurité a été découverte dans les résultats de recherche Bing. Heureusement, plus de peur que de mal.

Une grave faille de sécurité a récemment été découverte. Cela permet aux experts de modifier délibérément les résultats de recherche Bing. La vulnérabilité a été découverte en janvier dernier par la société de cybersécurité Wiz, qui l’a immédiatement signalée au Microsoft Security Response Center (MSRC).

Grave vulnérabilité de sécurité trouvée dans les résultats de recherche Bing

Dans une conversation sur Twitter, le chercheur de Wiz, Hillay Ben-Sasson, a expliqué comment il avait réussi à pirater le système de gestion de contenu (CMS) de Bing. En se connectant à la plate-forme cloud Microsoft Azure, il a découvert qu’il pouvait donner à tous les utilisateurs l’accès aux applications internes de l’entreprise depuis Redmond. Il a ensuite accédé à la base de données des résultats de recherche Bing. À partir de là, Hillay Ben-Sasson a trouvé un moyen de modifier ce qui apparaît dans les résultats comme souhaité.

Les chercheurs de Wiz ont également découvert que Bing était vulnérable à une attaque de script intersite (XSS) et ont découvert qu’ils avaient accès aux données sensibles d’Office 365, y compris les e-mails Outlook, du calendrier et les messages de Teams. MSRC a détaillé les mises à jour de sécurité pertinentes et partagé ses meilleures pratiques pour les développeurs et administrateurs Azure dans un article de blog .

Heureusement, plus de peur que de mal

Le but des expériences de ces chercheurs était de montrer que cela est possible et de le partager avec Microsoft. Mais cela montre également comment les pirates pourraient nuire à Bing. « Un attaquant avec le même accès aurait pu détourner les résultats de recherche les plus populaires en utilisant la même procédure et ainsi divulguer les données de millions d’utilisateurs », indique le blog de Wiz.

Heureusement, plus de peur que de mal, pour ainsi dire, aucun dégât sérieux ne semble avoir été fait. Microsoft a confirmé que cette vulnérabilité avait été corrigée au cours du week-end. Et en même temps, Wiz a reçu une prime de 40 000 $ de son programme de recherche de bogues pour avoir signalé un bogue. L’entreprise a annoncé qu’elle en ferait don à une organisation de son choix.

J’ai piraté @Bing CMS, ce qui m’a permis de modifier les résultats de recherche et de prendre en charge des millions de comptes @Office365 .
Comment ai-je fait ? Eh bien, tout a commencé par un simple clic sur @Azure … ?
C’est l’histoire de #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs

– Hillai Ben-Sasson (@hillai) 29 mars 2023