Een fout in Microsoft Bing kan de zoekresultaten wijzigen

Een fout in Microsoft Bing kan de zoekresultaten wijzigen

Er is een ernstig beveiligingslek gevonden in de zoekresultaten van Bing. Gelukkig meer angst dan kwaad.

Onlangs is een ernstig beveiligingslek ontdekt. Hierdoor kunnen experts de zoekresultaten van Bing doelbewust aanpassen . De kwetsbaarheid werd afgelopen januari ontdekt door cyberbeveiligingsbedrijf Wiz, die het onmiddellijk meldde aan het Microsoft Security Response Center (MSRC).

Ernstige beveiligingskwetsbaarheid gevonden in Bing-zoekresultaten

In een Twitter-gesprek legde Wiz-onderzoeker Hillay Ben-Sasson uit hoe hij het contentmanagementsysteem (CMS) van Bing wist te hacken. Door verbinding te maken met het Microsoft Azure-cloudplatform ontdekte hij dat hij alle gebruikers vanuit Redmond toegang kon geven tot de interne applicaties van het bedrijf. Vervolgens heeft hij toegang gekregen tot de Bing-database met zoekresultaten. Van daaruit vond Hillay Ben-Sasson een manier om wat in de resultaten verschijnt naar wens te veranderen.

Wiz-onderzoekers ontdekten ook dat Bing kwetsbaar is voor een cross-site scripting (XSS)-aanval en ontdekten dat ze toegang hebben tot gevoelige Office 365-gegevens, waaronder Outlook-e-mails, uit de agenda en berichten van Teams. MSRC detailleerde de relevante beveiligingsupdates en deelde zijn best practices voor Azure-ontwikkelaars en -beheerders in een blogpost .

Gelukkig meer angst dan kwaad

Het doel van de experimenten van deze onderzoekers was om aan te tonen dat dit mogelijk is en dit te delen met Microsoft. Maar het laat ook zien hoe hackers Bing kunnen schaden. “Een aanvaller met dezelfde toegang had de meest populaire zoekresultaten kunnen kapen met dezelfde procedure en daardoor de gegevens van miljoenen gebruikers kunnen lekken”, zegt de Wiz-blogpost.

Gelukkig lijkt er, om zo te zeggen, meer angst dan kwaad te zijn geen ernstige schade aangericht. Microsoft heeft bevestigd dat dit beveiligingslek in het weekend is gepatcht. En tegelijkertijd ontving Wiz een bounty van $ 40.000 van zijn bug-finding bounty-programma voor het melden van een bug. Het bedrijf kondigde aan dat het het zou schenken aan een organisatie naar keuze.

Ik heb @Bing CMS gehackt, waardoor ik zoekresultaten kon wijzigen en miljoenen @Office365 -accounts kon overnemen.
Hoe heb ik het gedaan? Nou, het begon allemaal met een simpele klik op @Azure … ?
Dit is het verhaal van #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 29 maart 2023

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *