Urknall . Dies wurde als Sicherheitsverletzung bezeichnet, die in Azure und Bing entdeckt wurde und die es nicht nur ermöglichte, die Suchergebnisse der zu ändern Microsoft Suchmaschine, sondern auch um bösartigen Code einzuschleusen, um alle persönlichen Informationen zu stehlen, die Ihrem Office 365-Konto zugeordnet sind, einschließlich Daten wie E-Mails, Outlook-E-Mails, Kalenderinformationen, Team-Gesprächen oder Microsoft Onedrive Dateien.
Die Methode, um diese Schwachstelle auszunutzen, wurde glücklicherweise von einem Sicherheitsforscher und nicht von einem Cyberkriminellen entdeckt. Die Methode, um die Kontrolle über Millionen von Office 365-Konten zu erlangen, war bei Microsoft gemeldet Sicherheit Reaktionszentrum , es wurde bereits gepatcht und deshalb wird die Vorgehensweise dieser Sicherheitslücke geteilt.
Bing-Suchergebnisse gehackt
Hillai Ben-Sasson, ein Forscher bei Wiz Research, hat es geschafft, die von Bing zurückgegebenen Suchergebnisse nach Belieben zu modifizieren, ein Exploit, den er getauft hat BingBang . Zu diesem Zweck gelang es ihm, ein Bing-Administrationspanel zu hacken, das Zugriff auf mehr Daten ermöglichte, als Sie vielleicht denken.
Der erste Schritt bestand darin, eine seltsame Konfiguration in Azure zu erkennen. Ein einziges Kontrollkästchen ist alles, was eine Anwendung davon trennt, „mehrbenutzerfähig“ zu werden, was standardmäßig der Fall ist erlaubt allen Benutzern sich anzumelden .
Danach wurde eine so konfigurierte Microsoft-Anwendung gefunden und angemeldet. Dem Benutzer von Ben-Sasson wurde sofort Zugriff gewährt eine CMS-Seite namens „Bing Trivia“ , das mehr steuert, als man denkt, einschließlich der Suchergebnisse. Als der Forscher einen Abschnitt fand, der einige Schlüsselwörter und die entsprechenden Suchergebnisse enthielt, stellte sich die Frage: Kann diese App die Bing-Suchergebnisse verändern?
Tatsächlich war es so. Diese Theorie wurde getestet indem Sie die Suchergebnisse ändern für „beste Soundtracks“ und das Ändern des ersten Ergebnisses von „Dune (2021)“ zu „Hackers (1995)“, wobei die Änderung sofort auf Bing erscheint.
Es wurde auf Office 365-Kontodaten zugegriffen
Neben der Gefahr, Suchergebnisse absichtlich zu manipulieren, hat man sich entschieden, die Grenzen dieser Schwachstelle auszuloten und die zu testen Machbarkeit von Kreuz -Site-Scripting ( XSS ), eine für Webanwendungen typische Computer-Schwachstelle oder Sicherheitslücke, die es einem Dritten ermöglichen kann, JavaScript-Code oder eine andere ähnliche Sprache in vom Benutzer besuchte Webseiten einzufügen.
Dazu wurde dem neuen Suchergebnis eine harmlose Payload hinzugefügt. Nach dem Aktualisieren der Seite, das Payload wurde erfolgreich ausgeführt . Ben-Sasson machte die Änderungen schnell rückgängig und meldete alles Microsoft, aber eine Frage blieb ihm im Kopf: Was kann man mit diesem XSS machen?
Hillai Ben Sasson@HillaiIch habe mich in ein @Bing-CMS gehackt, mit dem ich Suchergebnisse ändern und Millionen von @Office365-Konten übernehmen konnte.
Wie habe ich es gemacht? Nun, alles begann mit einem einfachen Klick in @Azure… 👀
Dies ist die Geschichte von #BingBang 🧵⬇️ https://t.co/9pydWvHhJs29. März 2023 • 20:338.5k
300
Bei der Überprüfung der Bing-Anforderungen bemerkte er, dass ein Endpunkt für die Office 365-Kommunikation verwendet wurde. Es stellt sich heraus, dass Bing jedem angemeldeten Benutzer Office-Token ausstellen kann. Entwarf eine XSS-Nutzlast mit dieser Funktionalität und es funktionierte.
Zu den Möglichkeiten dieser Nutzlast, die in Millionen von Office 365-Konten injiziert werden könnte, gehörten die folgenden personenbezogene Daten, die mit Ihrem Microsoft-Konto verknüpft sind : E-Mails, Kalender, Team-Nachrichten, SharePoint-Dokumente, OneDrive-Dateien usw. Und das alles gilt für jeden Bing-Benutzer.
Das Microsoft Security Response Center hat schnell auf diesen Sicherheitsbericht reagiert, die anfälligen Anwendungen behoben , und nahm einige Änderungen am Leitfaden und am Produkt des Azure-Adminbereichs vor, um Kunden bei der Lösung dieses Problems zu unterstützen. Die Schwachstelle war so groß, dass sogar ein Kopfgeld in Höhe von 40,000 US-Dollar vergeben wurde, das die Entdecker zu spenden beschlossen.