微軟 Bing 的缺陷可能會改變搜索結果

Bing 搜索結果中發現了嚴重的安全漏洞。幸運的是，恐懼多於傷害。

最近發現了一個嚴重的安全漏洞。這使得專家可以有目的地修改 Bing搜索結果。 該漏洞於去年一月由網絡安全公司 Wiz 發現，並立即向微軟安全響應中心 (MSRC) 報告。

Bing 搜索結果中發現嚴重安全漏洞

在 Twitter 對話中，Wiz 研究員 Hillay Ben-Sasson 解釋了他如何成功破解 Bing 的內容管理系統 (CMS)。通過連接到 Microsoft Azure 雲平台，他發現可以讓所有用戶從雷蒙德訪問公司的內部應用程序。然後他訪問了 Bing 搜索結果數據庫。從那裡開始，Hillay Ben-Sasson 找到了一種根據需要更改結果中顯示內容的方法。

Wiz 研究人員還發現 Bing 容易受到跨站點腳本 (XSS) 攻擊，並發現他們可以訪問敏感的 Office 365 數據，包括來自日曆的 Outlook 電子郵件和來自 Teams 的消息。MSRC 在博客文章中詳細介紹了相關安全更新，並為 Azure 開發人員和管理員分享了其最佳實踐。

幸運的是，恐懼多於傷害

這些研究人員實驗的目的是證明這是可能的，並與微軟分享。但它也顯示了黑客如何損害必應。Wiz 博客文章稱：“具有相同訪問權限的攻擊者可能使用相同的程序劫持了最受歡迎的搜索結果，從而洩露了數百萬用戶的數據。”

幸運的是，恐懼多於傷害，可以這麼說，似乎沒有造成嚴重損害。微軟確認該漏洞已在周末修復。與此同時，Wiz 因報告錯誤而從其錯誤發現賞金計劃中獲得了 40,000 美元的賞金。該公司宣布將把它捐贈給其選擇的組織。

我入侵了@Bing CMS，它允許我更改搜索結果並接管數百萬個@Office365帳戶。
我是怎麼做到的？好吧，這一切都是從@Azure的簡單點擊開始的……?這是#BingBang ?⬇️ pic.twitter.com/9pydWvHhJs
的故事

— Hillai Ben-Sasson (@hillai) 2023 年 3 月 29 日