Un difetto in Microsoft Bing potrebbe modificare i risultati della ricerca
È stata rilevata una grave falla di sicurezza nei risultati di ricerca di Bing. Fortunatamente, più paura che danno.
Di recente è stata scoperta una grave vulnerabilità di sicurezza. Ciò consente agli esperti di modificare intenzionalmente i risultati di ricerca di Bing. La vulnerabilità è stata scoperta lo scorso gennaio dalla società di sicurezza informatica Wiz, che l’ha immediatamente segnalata al Microsoft Security Response Center (MSRC).
Grave vulnerabilità di sicurezza trovata nei risultati di ricerca di Bing
In una conversazione su Twitter, il ricercatore di Wiz Hillay Ben-Sasson ha spiegato come è riuscito ad hackerare il sistema di gestione dei contenuti (CMS) di Bing. Collegandosi alla piattaforma cloud Microsoft Azure, ha scoperto di poter dare a tutti gli utenti l’accesso alle applicazioni interne dell’azienda da Redmond. Ha quindi effettuato l’accesso al database dei risultati di ricerca di Bing. Da lì, Hillay Ben-Sasson ha trovato un modo per modificare ciò che appare nei risultati come desiderato.
I ricercatori di Wiz hanno anche scoperto che Bing è vulnerabile a un attacco XSS (cross-site scripting) e hanno scoperto di avere accesso ai dati sensibili di Office 365, incluse le e-mail di Outlook, dal calendario e i messaggi di Teams. MSRC ha dettagliato gli aggiornamenti di sicurezza rilevanti e ha condiviso le sue best practice per gli sviluppatori e gli amministratori di Azure in un post di blog .
Fortunatamente, più paura che danno
Lo scopo degli esperimenti di questi ricercatori era dimostrare che ciò è possibile e condividerlo con Microsoft. Ma mostra anche come gli hacker potrebbero danneggiare Bing. “Un utente malintenzionato con lo stesso accesso potrebbe aver dirottato i risultati di ricerca più popolari utilizzando la stessa procedura e quindi fatto trapelare i dati di milioni di utenti”, afferma il post sul blog di Wiz.
Per fortuna, più paura che danno, per così dire, nessun danno grave sembra essere stato fatto. Microsoft ha confermato che questa vulnerabilità è stata corretta durante il fine settimana. E allo stesso tempo, Wiz ha ricevuto una taglia di $ 40.000 dal suo programma di taglie per la ricerca di bug per aver segnalato un bug. La società ha annunciato che lo avrebbe donato a un’organizzazione di sua scelta.
Ho hackerato @Bing CMS, che mi ha permesso di modificare i risultati di ricerca e rilevare milioni di account @Office365 .
Come ho fatto? Bene, tutto è iniziato con un semplice clic su @Azure … ?
Questa è la storia di #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs
— Hillai Ben-Sasson (@hillai) 29 marzo 2023
Lascia un commento