Microsoft Bing의 결함으로 인해 검색 결과가 변경될 수 있음

Bing 검색 결과에서 심각한 보안 결함이 발견되었습니다. 다행히도 해로움보다 두려움이 더 많습니다.

최근 심각한 보안 취약점이 발견되었습니다. 이를 통해 전문가는 의도적으로 Bing 검색 결과를 수정할 수 있습니다 . 이 취약점은 지난 1월 사이버 보안 회사인 Wiz에 의해 발견되었으며 즉시 Microsoft 보안 대응 센터(MSRC)에 보고되었습니다.

Bing 검색 결과에서 발견된 심각한 보안 취약점

트위터 대화에서 Wiz 연구원 Hillay Ben-Sasson은 Bing의 콘텐츠 관리 시스템(CMS)을 해킹한 방법을 설명했습니다. Microsoft Azure 클라우드 플랫폼에 연결함으로써 그는 모든 사용자에게 Redmond의 회사 내부 애플리케이션에 대한 액세스 권한을 부여할 수 있다는 사실을 알게 되었습니다. 그런 다음 Bing 검색 결과 데이터베이스에 액세스했습니다. 여기에서 Hillay Ben-Sasson은 결과에 표시되는 내용을 원하는 대로 변경하는 방법을 찾았습니다.

또한 Wiz 연구원은 Bing이 XSS(교차 사이트 스크립팅) 공격에 취약하다는 사실을 발견했으며 일정에서 Outlook 이메일, Teams의 메시지를 비롯한 중요한 Office 365 데이터에 액세스할 수 있음을 발견했습니다. MSRC는 관련 보안 업데이트를 자세히 설명하고 블로그 게시물 에서 Azure 개발자 및 관리자를 위한 모범 사례를 공유했습니다 .

다행스럽게도 피해보다 두려움이 더 많습니다.

이 연구원들의 실험 목적은 이것이 가능하다는 것을 보여주고 Microsoft와 공유하는 것이었습니다. 그러나 해커가 Bing을 어떻게 해칠 수 있는지도 보여줍니다. Wiz 블로그 게시물은 “동일한 액세스 권한을 가진 공격자가 동일한 절차를 사용하여 가장 인기 있는 검색 결과를 하이재킹하여 수백만 사용자의 데이터를 유출할 수 있습니다.”라고 밝혔습니다.

다행히도 피해보다는 두려움이 더 큰, 말하자면 심각한 피해는 발생하지 않은 것 같습니다. Microsoft는 이 취약점이 주말 동안 패치되었음을 확인했습니다. 동시에 Wiz는 버그를 보고한 것에 대해 버그 찾기 바운티 프로그램에서 $40,000의 포상금을 받았습니다. 회사는 그것을 원하는 단체에 기부하겠다고 발표했습니다.

@Bing CMS를 해킹하여 검색 결과를 변경하고 수백만 개의 @Office365 계정을 탈취할 수 있었습니다 . 내가 어떻게 했지? @Azure 에서 간단한 클릭으로 모든 것이 시작 되었습니다 …

— Hillai Ben-Sasson(@hillai) 2023년 3월 29일