Luka w Microsoft Bing może zmienić wyniki wyszukiwania

Luka w Microsoft Bing może zmienić wyniki wyszukiwania

W wynikach wyszukiwania Bing wykryto poważną lukę w zabezpieczeniach. Na szczęście więcej strachu niż szkody.

Niedawno wykryto poważną lukę w zabezpieczeniach. Dzięki temu eksperci mogą celowo modyfikować wyniki wyszukiwania Bing. Luka została odkryta w styczniu ubiegłego roku przez firmę zajmującą się cyberbezpieczeństwem Wiz, która natychmiast zgłosiła ją do Microsoft Security Response Center (MSRC).

W wynikach wyszukiwania Bing wykryto poważną lukę w zabezpieczeniach

W rozmowie na Twitterze badacz Wiz, Hillay Ben-Sasson, wyjaśnił, w jaki sposób udało mu się zhakować system zarządzania treścią (CMS) firmy Bing. Łącząc się z platformą chmurową Microsoft Azure, odkrył, że może zapewnić wszystkim użytkownikom dostęp do wewnętrznych aplikacji firmy z Redmond. Następnie uzyskał dostęp do bazy danych wyników wyszukiwania Bing. Stamtąd Hillay Ben-Sasson znalazła sposób na zmianę tego, co pojawia się w wynikach, zgodnie z potrzebami.

Badacze Wiz odkryli również, że Bing jest podatny na atak cross-site scripting (XSS) i odkryli, że mają dostęp do poufnych danych Office 365, w tym wiadomości e-mail programu Outlook, z kalendarza i wiadomości z aplikacji Teams. Firma MSRC wyszczególniła odpowiednie aktualizacje zabezpieczeń i podzieliła się najlepszymi praktykami dla deweloperów i administratorów platformy Azure w poście na blogu .

Na szczęście więcej strachu niż szkody

Celem eksperymentów tych badaczy było pokazanie, że jest to możliwe i podzielenie się tym z Microsoftem. Ale pokazuje również, w jaki sposób hakerzy mogą zaszkodzić Bing. „Atakujący z takim samym dostępem mógł przejąć najpopularniejsze wyniki wyszukiwania przy użyciu tej samej procedury, a tym samym ujawnić dane milionów użytkowników” — czytamy na blogu Wiz.

Na szczęście, że tak powiem, więcej strachu niż szkody, wydaje się, że nie wyrządzono żadnych poważnych szkód. Microsoft potwierdził, że ta luka została załatana w weekend. W tym samym czasie Wiz otrzymał nagrodę w wysokości 40 000 USD ze swojego programu nagród za wykrywanie błędów za zgłoszenie błędu. Firma ogłosiła, że ​​przekaże go wybranej przez siebie organizacji.

Zhakowałem @Bing CMS, co pozwoliło mi zmienić wyniki wyszukiwania i przejąć miliony kont @Office365 .
Jak to zrobiłem? Cóż, wszystko zaczęło się od prostego kliknięcia na @Azure … ?
Oto historia #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs

— Hillai Ben-Sasson (@hillai) 29 marca 2023 r

News
admin

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Najlepsze aplikacje do liczenia kalorii na iPhone'a i iPada w 2023 roku
ARK: Survival Ascended, ARK: Survival Evolved Remastered z Unreal Engine 5
Napraw błąd 0x8007001F w Microsoft Store

Napraw błąd 0x8007001F w Microsoft Store

  • 19 maj 2023
  • 63
Po 40 latach myszy i klawiatury marki Microsoft są wycofywane

Po 40 latach myszy i klawiatury marki Microsoft są wycofywane

  • 28 kwi 2023
  • 86
SwiftKey na iOS był martwy, a teraz jest też Bing Chat.

SwiftKey na iOS był martwy, a teraz jest też Bing Chat.

  • 14 kwi 2023
  • 62