Microsoft Bing defekts var mainīt meklēšanas rezultātus

Microsoft Bing defekts var mainīt meklēšanas rezultātus

Bing meklēšanas rezultātos ir konstatēts nopietns drošības trūkums. Par laimi, vairāk baiļu nekā kaitējuma.

Nesen tika atklāta nopietna drošības ievainojamība. Tas ļauj ekspertiem mērķtiecīgi modificēt Bing meklēšanas rezultātus. Ievainojamību pagājušā gada janvārī atklāja kiberdrošības uzņēmums Wiz, nekavējoties ziņojot par to Microsoft Security Response Center (MSRC).

Bing meklēšanas rezultātos atrasta nopietna drošības ievainojamība

Twitter sarunā Wiz pētnieks Hilejs Ben-Sasons paskaidroja, kā viņam izdevās uzlauzt Bing satura pārvaldības sistēmu (CMS). Izveidojot savienojumu ar Microsoft Azure mākoņa platformu, viņš atklāja, ka var dot visiem lietotājiem piekļuvi uzņēmuma iekšējām lietojumprogrammām no Redmondas. Pēc tam viņš piekļuva Bing meklēšanas rezultātu datubāzei. No turienes Hilay Ben-Sasson atrada veidu, kā mainīt to, kas parādās rezultātos, kā vēlas.

Wiz pētnieki arī atklāja, ka Bing ir neaizsargāts pret starpvietņu skriptēšanas (XSS) uzbrukumu, un atklāja, ka viņiem ir piekļuve sensitīviem Office 365 datiem, tostarp Outlook e-pastiem, no kalendāra un ziņojumiem no Teams. MSRC emuāra ziņā detalizēti izklāstīja attiecīgos drošības atjauninājumus un dalījās ar savu paraugpraksi Azure izstrādātājiem un administratoriem .

Par laimi, vairāk baiļu nekā kaitējuma

Šo pētnieku eksperimentu mērķis bija parādīt, ka tas ir iespējams, un dalīties tajā ar Microsoft. Bet tas arī parāda, kā hakeri var kaitēt Bing. “Uzbrucējs ar tādu pašu piekļuvi varēja nolaupīt populārākos meklēšanas rezultātus, izmantojot to pašu procedūru, un tādējādi nopludināt miljoniem lietotāju datus,” teikts Wiz emuāra ierakstā.

Par laimi, vairāk baiļu nekā kaitējuma, tā sakot, nekāds nopietns kaitējums, šķiet, nav nodarīts. Microsoft apstiprināja, ka šī ievainojamība tika izlabota nedēļas nogalē. Tajā pašā laikā Wiz saņēma 40 000 $ atlīdzību no savas kļūdu meklēšanas programmas par kļūdu ziņošanu. Uzņēmums paziņoja, ka ziedos to kādai organizācijai pēc savas izvēles.

Es uzlauzu @Bing CMS, kas ļāva mainīt meklēšanas rezultātus un pārņemt miljoniem @Office365 kontu.
Kā es to izdarīju? Nu, viss sākās ar vienkāršu klikšķi vietnē @Azure … ?
Šis ir stāsts par #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 2023. gada 29. marts

News
admin

Atbildēt

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *

Labākās kaloriju skaitīšanas lietotnes iPhone un iPad ierīcēm 2023. gadā
ARK: Survival Ascended, ARK: Survival Evolved pārveidots ar Unreal Engine 5
Izlabojiet kļūdu 0x8007001F veikalā Microsoft Store

Izlabojiet kļūdu 0x8007001F veikalā Microsoft Store

  • 19 Mai 2023
  • 137
Pēc 40 gadiem Microsoft zīmola peles un tastatūras tiek pakāpeniski izņemtas no apgrozības

Pēc 40 gadiem Microsoft zīmola peles un tastatūras tiek pakāpeniski izņemtas no apgrozības

  • 28 Apr 2023
  • 141
Pēc 40 gadiem Microsoft zīmola peles un tastatūras tiek pakāpeniski izņemtas no apgrozības

Pēc 40 gadiem Microsoft zīmola peles un tastatūras tiek pakāpeniski izņemtas no apgrozības

  • 28 Apr 2023
  • 163