„Microsoft Bing“ trūkumas gali pakeisti paieškos rezultatus

„Bing“ paieškos rezultatuose rasta rimta saugumo klaida. Laimei, daugiau baimės nei žalos.

Neseniai buvo aptikta rimta saugumo spraga. Tai leidžia ekspertams tikslingai keisti Bing paieškos rezultatus. Pažeidžiamumą pernai sausį aptiko kibernetinio saugumo įmonė „Wiz“ ir nedelsdama apie tai pranešė „Microsoft Security Response Center“ (MSRC).

„Bing“ paieškos rezultatuose aptiktas rimtas saugos pažeidžiamumas

„Twitter“ pokalbyje „Wiz“ tyrėjas Hillay Ben-Sasson paaiškino, kaip jam pavyko nulaužti „Bing“ turinio valdymo sistemą (TVS). Prisijungęs prie „Microsoft Azure“ debesies platformos, jis nustatė, kad gali suteikti visiems vartotojams prieigą prie įmonės vidinių programų iš Redmond. Tada jis pasiekė Bing paieškos rezultatų duomenų bazę. Iš ten Hillay Ben-Sasson rado būdą, kaip pakeisti tai, kas rodoma rezultatuose, kaip pageidaujama.

„Wiz“ tyrėjai taip pat išsiaiškino, kad „Bing“ yra pažeidžiamas kelių svetainių scenarijų (XSS) atakų, ir nustatė, kad jie turi prieigą prie jautrių „Office 365“ duomenų, įskaitant „Outlook“ el. laiškus, iš kalendoriaus ir pranešimų iš „Teams“. MSRC tinklaraščio įraše išsamiai išdėstė atitinkamus saugos naujinimus ir pasidalijo geriausia praktika „Azure“ kūrėjams ir administratoriams .

Laimei, daugiau baimės nei žalos

Šių mokslininkų eksperimentų tikslas buvo parodyti, kad tai įmanoma, ir pasidalinti tuo su „Microsoft“. Tačiau tai taip pat parodo, kaip įsilaužėliai gali pakenkti Bing. „Užpuolikas, turintis tą pačią prieigą, galėjo užgrobti populiariausius paieškos rezultatus naudodamas tą pačią procedūrą ir taip nutekinti milijonų vartotojų duomenis“, – rašoma „Wiz“ tinklaraščio įraše.

Laimei, daugiau baimės nei žalos, taip sakant, rimtos žalos, atrodo, nepadaryta. „Microsoft“ patvirtino, kad šis pažeidžiamumas buvo pataisytas savaitgalį. Tuo pačiu metu Wiz gavo 40 000 USD premiją iš savo klaidų paieškos programos už pranešimą apie klaidą. Bendrovė paskelbė, kad ją padovanos pasirinktai organizacijai.

Įsilaužiau į @Bing TVS, kuri leido pakeisti paieškos rezultatus ir perimti milijonus @Office365 paskyrų.
Kaip aš tai padariau? Na, viskas prasidėjo paprastu paspaudimu @Azure … ? Tai #BingBang
istorija ?⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 2023 m. kovo 29 d