Этот недостаток Bing позволил хакерам изменить результаты поиска и украсть ваши файлы

31 марта, 2023 Дядя Влад

Исследователь безопасности недавно смог изменить верхние результаты в поисковой системе Microsoft Bing и получить доступ к личным файлам любого пользователя, потенциально подвергая риску миллионы пользователей — и все, что для этого потребовалось, — это войти на незащищенную веб-страницу.

Эксплойт был обнаружен исследователем Хиллаи Бен-Сассоном в их команде в Wiz, фирме, занимающейся облачной безопасностью. По словам Бен-Сассона , это не только позволит злоумышленнику изменить результаты поиска Bing, но также предоставит ему доступ к личным файлам и данным миллионов пользователей.

#BingBang — уязвимость Bing.com, обнаруженная Wiz Research

Уязвимость, названная исследовательской группой BingBang, сосредоточена в Microsoft Azure Active Directory, которая используется предприятиями для управления идентификацией пользователей и доступом к приложениям. К сожалению, если приложение настроено неправильно, любой пользователь Azure в мире может войти в него без надлежащих учетных данных.

Поразительно, но при техническом анализе ошибки исследователи отметили, что до 25% всех проверенных ими многопользовательских приложений были уязвимы, включая приложение Microsoft под названием Bing Trivia.

Воспользовавшись уязвимостью для входа в приложение Bing Trivia, команда Wiz обнаружила систему управления контентом (CMS), привязанную к Bing.com, которая контролировала оперативные результаты поисковой системы. Затем с оттенком юмора они изменили одну из записей, изменив лучший результат для «лучших саундтреков» с музыки «Дюны» на музыку из фильма «Хакеры» 1995 года.

Тем не менее, нет ничего смешного в том, что подразумевает этот недостаток. Как пояснили исследователи, «злоумышленник, зашедший на страницу приложения Bing Trivia, мог, таким образом, подделать любой поисковый запрос и запустить кампании по дезинформации, а также фишинг и выдачу себя за другие веб-сайты».

Кража личных файлов и электронных писем

Сравнение результатов поиска Bing до и после применения эксплойта BingBang, показывающее, как можно изменить список рекомендуемых саундтреков к фильмам. — Виз

Более того, исследователи смогли добавить полезную нагрузку безвредного межсайтового скриптинга (XSS) в Bing, когда они вошли в систему. Это могло работать, как и ожидалось, без помех. Сообщив о проблеме в Microsoft, исследователи попытались изменить эту полезную нагрузку XSS, чтобы увидеть, что это возможно.

Поскольку Bing интегрируется с Microsoft 365 , команда Wiz смогла создать сценарий, который потенциально может украсть токены доступа пользователя, вошедшего в систему, и предоставить ему доступ к облачным данным этого пользователя. Это могут быть электронные письма Outlook , календари, сообщения Teams, файлы OneDrive и многое другое.

В совокупности это означает, что хакер может перенаправить результаты поиска Bing на вредоносный веб-сайт и в то же время получить личные данные любого пользователя, вошедшего в учетную запись Microsoft 365. Все из-за использования простой уязвимости входа в систему.

К счастью, исследователи немедленно сообщили об ошибке в Microsoft, и вскоре после этого она была исправлена, что привело к вознаграждению в размере 40 000 долларов США. Тем не менее, это остается тревожным примером того, как мало усилий может потребоваться для кражи личных данных у миллионов ничего не подозревающих пользователей.