Luka w Microsoft Bing może zmienić wyniki wyszukiwania
W wynikach wyszukiwania Bing wykryto poważną lukę w zabezpieczeniach. Na szczęście więcej strachu niż szkody.
Niedawno wykryto poważną lukę w zabezpieczeniach. Dzięki temu eksperci mogą celowo modyfikować wyniki wyszukiwania Bing. Luka została odkryta w styczniu ubiegłego roku przez firmę zajmującą się cyberbezpieczeństwem Wiz, która natychmiast zgłosiła ją do Microsoft Security Response Center (MSRC).
W wynikach wyszukiwania Bing wykryto poważną lukę w zabezpieczeniach
W rozmowie na Twitterze badacz Wiz, Hillay Ben-Sasson, wyjaśnił, w jaki sposób udało mu się zhakować system zarządzania treścią (CMS) firmy Bing. Łącząc się z platformą chmurową Microsoft Azure, odkrył, że może zapewnić wszystkim użytkownikom dostęp do wewnętrznych aplikacji firmy z Redmond. Następnie uzyskał dostęp do bazy danych wyników wyszukiwania Bing. Stamtąd Hillay Ben-Sasson znalazła sposób na zmianę tego, co pojawia się w wynikach, zgodnie z potrzebami.
Badacze Wiz odkryli również, że Bing jest podatny na atak cross-site scripting (XSS) i odkryli, że mają dostęp do poufnych danych Office 365, w tym wiadomości e-mail programu Outlook, z kalendarza i wiadomości z aplikacji Teams. Firma MSRC wyszczególniła odpowiednie aktualizacje zabezpieczeń i podzieliła się najlepszymi praktykami dla deweloperów i administratorów platformy Azure w poście na blogu .
Na szczęście więcej strachu niż szkody
Celem eksperymentów tych badaczy było pokazanie, że jest to możliwe i podzielenie się tym z Microsoftem. Ale pokazuje również, w jaki sposób hakerzy mogą zaszkodzić Bing. „Atakujący z takim samym dostępem mógł przejąć najpopularniejsze wyniki wyszukiwania przy użyciu tej samej procedury, a tym samym ujawnić dane milionów użytkowników” — czytamy na blogu Wiz.
Na szczęście, że tak powiem, więcej strachu niż szkody, wydaje się, że nie wyrządzono żadnych poważnych szkód. Microsoft potwierdził, że ta luka została załatana w weekend. W tym samym czasie Wiz otrzymał nagrodę w wysokości 40 000 USD ze swojego programu nagród za wykrywanie błędów za zgłoszenie błędu. Firma ogłosiła, że przekaże go wybranej przez siebie organizacji.
Zhakowałem @Bing CMS, co pozwoliło mi zmienić wyniki wyszukiwania i przejąć miliony kont @Office365 .
Jak to zrobiłem? Cóż, wszystko zaczęło się od prostego kliknięcia na @Azure … ?
Oto historia #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs
— Hillai Ben-Sasson (@hillai) 29 marca 2023 r
Dodaj komentarz