Microsoft Bing: уязвимость, позволяющая подделывать результаты поиска
Обнаружена уязвимость системы безопасности, затрагивающая Microsoft Bing. Это позволило подделывать результаты поиска и перекачивать данные пользователей Интернета, включая электронные письма, которыми обменивались сообщения Outlook и Teams…
Исследователи компьютерной безопасности Wiz обнаружили уязвимость, затрагивающую Bing, поисковую систему Microsoft. Нарушение было вызвано неправильной настройкой приложений на облачной платформе группы Azure. Таким образом, эта неисправность позволяла любому пользователю Интернета подключаться к одному из затронутых приложений для внесения изменений или сбора данных.
По словам Microsoft, уязвимость затронула лишь небольшое количество приложений. Сбой затронул только приложения, использующие Azure Active Directory, службу управления идентификацией и доступом, объясняет группа Wall Street Journal.
"Одним из таких приложений является система управления контентом (CMS), на которой работает Bing.com", — пояснил Wiz в подробном .
Используя эту уязвимость, исследователи Wiz получили доступ к платформе, используемой сотрудниками Microsoft для создания викторин на Bing. Для доступа к ней требовалась лишь учетная запись Microsoft.
Затем эксперты по облачной безопасности из Нью-Йорка сумели изменить результаты поиска, появляющиеся в Bing. Например, они изменили первый пункт, который появлялся в ответ на запрос "лучший саундтрек". Взломщики также изменили домашнюю страницу поисковой системы.
Кража данных
Самое главное, уязвимость позволяла злоумышленникам похищать конфиденциальные данные о пользователях Microsoft Bing. Исследователи могли собрать электронную почту в Outlook, документы в OneDrive, календари, сообщения в Teams и все другие данные, потенциально хранящиеся на Microsoft 365, облачной платформе издателя. Все эти данные могут быть доступны потенциальному злоумышленнику. Это, безусловно, очень тревожно, особенно учитывая, что "многие организации используют Office 365 для хранения наиболее важных бизнес-данных", — отмечает Wiz.
Нет никаких признаков того, что хакеры воспользовались этой брешью, успокаивает Wiz. Тем не менее теоретически возможно, что уязвимость была использована злоумышленниками в прошлом, не оставив никаких следов. Исследователи сообщают, что еще 1 000 веб-сайтов в облаке Microsoft страдали от той же уязвимости. Большинство страниц принадлежат клиентам Azure, но Wiz "обнаружил еще несколько внутренних приложений Microsoft с аналогичными ошибками конфигурации".
По предупреждению Wiz, который получил за свое открытие вознаграждение в размере 40 000 долларов, компания Microsoft исправила недостаток 2 февраля 2023 года, за несколько дней до анонса нового Bing, оснащенного искусственным интеллектом ChatGPT. Компания "исправила уязвимые приложения и внесла изменения" для повышения безопасности, объясняет Хиллай Бен-Сассон, исследователь из Wiz.