Ett fel i Microsoft Bing kan förändra sökresultaten
Ett allvarligt säkerhetsbrist har hittats i Bings sökresultat. Lyckligtvis mer rädsla än skada.
En allvarlig säkerhetsrisk upptäcktes nyligen. Detta tillåter experter att målmedvetet ändra Bing- sökresultat. Sårbarheten upptäcktes i januari förra året av cybersäkerhetsföretaget Wiz, som omedelbart rapporterade det till Microsoft Security Response Center (MSRC).
Allvarlig säkerhetssårbarhet hittades i Bings sökresultat
I en Twitter-konversation förklarade Wiz-forskaren Hillay Ben-Sasson hur han lyckades hacka Bings innehållshanteringssystem (CMS). Genom att ansluta till Microsoft Azure molnplattform fann han att han kunde ge alla användare tillgång till företagets interna applikationer från Redmond. Han gick sedan åt Bings sökresultatdatabas. Därifrån hittade Hillay Ben-Sasson ett sätt att ändra vad som visas i resultaten efter önskemål.
Wiz-forskare upptäckte också att Bing är sårbart för en cross-site scripting (XSS) attack och fann att de har tillgång till känslig Office 365-data, inklusive Outlook-e-postmeddelanden, från kalendern och meddelanden från Teams. MSRC beskrev relevanta säkerhetsuppdateringar och delade sina bästa praxis för Azure-utvecklare och administratörer i ett blogginlägg .
Lyckligtvis mer rädsla än skada
Syftet med dessa forskares experiment var att visa att detta är möjligt och dela det med Microsoft. Men det visar också hur hackare kan skada Bing. ”En angripare med samma åtkomst kunde ha kapat de mest populära sökresultaten med samma procedur och därigenom läckt data från miljontals användare”, står det i Wiz-blogginlägget.
Som tur är, mer rädsla än skada, så att säga, ingen allvarlig skada verkar ha skett. Microsoft bekräftade att denna sårbarhet korrigerades under helgen. Och samtidigt fick Wiz en prispeng på $40 000 från sitt program för att hitta buggar för att ha rapporterat en bugg. Företaget meddelade att det skulle donera det till en organisation som de själv väljer.
Jag hackade @Bing CMS, vilket gjorde att jag kunde ändra sökresultat och ta över miljontals @Office365 -konton.
Hur gjorde jag det? Tja, allt började med ett enkelt klick på @Azure … ?
Det här är historien om #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs
— Hillai Ben-Sasson (@hillai) 29 mars 2023
Lämna ett svar