Недолік у Microsoft Bing може змінити результати пошуку
У результатах пошуку Bing виявлено серйозну помилку безпеки. На щастя, більше страху, ніж шкоди.
Нещодавно було виявлено серйозну вразливість системи безпеки. Це дозволяє експертам цілеспрямовано змінювати результати пошуку Bing. Уразливість була виявлена в січні минулого року компанією з кібербезпеки Wiz, яка негайно повідомила про це Microsoft Security Response Center (MSRC).
У результатах пошуку Bing виявлено серйозну вразливість безпеки
У розмові в Twitter дослідник Wiz Хіллай Бен-Сассон пояснив, як йому вдалося зламати систему керування контентом (CMS) Bing. Підключившись до хмарної платформи Microsoft Azure, він виявив, що може надати всім користувачам доступ до внутрішніх додатків фірми з Редмонда. Потім він отримав доступ до бази даних результатів пошуку Bing. Звідти Хіллай Бен-Сассон знайшов спосіб змінити те, що відображається в результатах, за бажанням.
Дослідники Wiz також виявили, що Bing вразливий до атаки міжсайтових сценаріїв (XSS), і виявили, що вони мають доступ до конфіденційних даних Office 365, включаючи електронні листи Outlook, з календаря та повідомлення від Teams. MSRC детально описує відповідні оновлення системи безпеки та поділився найкращими методами роботи з розробниками й адміністраторами Azure у публікації в блозі .
На щастя, більше страху, ніж шкоди
Метою експериментів цих дослідників було показати, що це можливо, і поділитися цим з Microsoft. Але це також показує, як хакери можуть зашкодити Bing. «Зловмисник із таким же доступом міг заволодіти найпопулярнішими результатами пошуку, використовуючи ту саму процедуру, і таким чином витік даних мільйонів користувачів», — йдеться в повідомленні в блозі Wiz.
На щастя, більше страху, ніж шкоди, так би мовити, серйозної шкоди, здається, не завдано. Microsoft підтвердила, що цю вразливість було виправлено на вихідних. І в той же час Віз отримав винагороду в розмірі 40 000 доларів від своєї програми винагород за виявлення помилок за повідомлення про помилку. Компанія оголосила, що передасть його організації на свій вибір.
Я зламав @Bing CMS, що дозволило мені змінити результати пошуку та заволодіти мільйонами облікових записів @Office365 .
Як я це зробив? Ну, все почалося з простого кліку в @Azure … ?
Це історія #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs
— Хіллай Бен-Сассон (@hillai) 29 березня 2023 р
Залишити відповідь