Milioni di account Office sono stati rubati utilizzando un buco in Bing

Big Bang . Questa è stata definita una violazione della sicurezza rilevata in Azure e Bing che ha consentito non solo di modificare i risultati della ricerca del Microsoft motore di ricerca, ma anche per iniettare codice dannoso per rubare tutte le informazioni personali assegnate al tuo account Office 365, inclusi dati come e-mail e-mail di Outlook, informazioni sul calendario, conversazioni di Teams o Microsoft Onedrive File.

Il metodo per eseguire questa vulnerabilità è stato fortunatamente scoperto da un ricercatore di sicurezza e non da un criminale informatico. Il metodo per ottenere il controllo di milioni di account di Office 365 era segnalato a Microsoft Sicurezza Centro di risposta , è già stato patchato ed è per questo che il modus operandi di questa falla di sicurezza è condiviso.

Milioni di account Office sono stati rubati

Risultati di ricerca di Bing compromessi

Hillai Ben-Sasson, un ricercatore di Wiz Research, è riuscito a modificare a suo piacimento i risultati di ricerca restituiti da Bing, un exploit che ha soprannominato BingBang . Per farlo è riuscito ad hackerare un pannello di amministrazione di Bing che dava accesso a più dati di quanto si possa pensare.

Il primo passo è stato rilevare una strana configurazione in Azure. Una singola casella di controllo è tutto ciò che separa un'applicazione dal diventare "multiutente", che per impostazione predefinita consente a tutti gli utenti di accedere .

Dopo aver fatto ciò, è stata trovata un'applicazione Microsoft configurata in questo modo e ha effettuato l'accesso. All'utente di Ben-Sasson è stato concesso l'accesso immediato a una pagina CMS chiamata "Bing Trivia" , che controlla più di quanto sembri, inclusi i risultati di ricerca. Quando il ricercatore ha trovato una sezione che conteneva alcune parole chiave e i corrispondenti risultati di ricerca, è sorta la domanda: questa app potrebbe modificare i risultati di ricerca di Bing?

In effetti, lo era. Quella teoria è stata testata modificando i risultati della ricerca per "migliori colonne sonore" e cambiando il primo risultato da "Dune (2021)" a "Hackers (1995)", con la modifica che appare istantaneamente su Bing.

È stato effettuato l'accesso ai dati dell'account di Office 365

Oltre al pericolo di manipolare intenzionalmente i risultati della ricerca, si è deciso di testare i limiti di questa vulnerabilità e testare il fattibilità della Croce scripting del sito ( XSS ), una vulnerabilità informatica o falla di sicurezza tipica delle applicazioni Web, che può consentire a terzi di inserire codice JavaScript o un altro linguaggio simile nelle pagine Web visitate dall'utente.

Per fare ciò, è stato aggiunto un payload innocuo al nuovo risultato di ricerca. Dopo aver aggiornato la pagina, that il payload è stato eseguito correttamente . Rapidamente, Ben-Sasson ha ripristinato le modifiche e ha riferito tutto a Microsoft, ma gli è rimasta una domanda: cosa si può fare con questo XSS?

Immagine dell'usuario di twitter
Hillai Ben Sasson
@hillai
Ho violato un CMS @Bing che mi ha permesso di modificare i risultati di ricerca e rilevare milioni di account @Office365.
Come ho fatto? Bene, tutto è iniziato con un semplice clic in @Azure... 👀
Questa è la storia di #BingBang 🧵⬇️ https://t.co/9pydWvHhJs
29 marzo 2023 • 20:33

8.5K

300

Durante l'ispezione delle richieste Bing, ha notato che un endpoint è stato utilizzato per le comunicazioni di Office 365. Si scopre che Bing può rilasciare token di Office a qualsiasi utente che ha effettuato l'accesso. Progettato un payload XSS utilizzando questa funzionalità e ha funzionato.

Le possibilità di questo carico utile che potrebbe essere iniettato in milioni di account Office 365 includevano quanto segue informazioni personali associate al tuo account Microsoft : e-mail, calendari, messaggi Teams, documenti SharePoint, file OneDrive, ecc. E tutti applicabili a qualsiasi utente Bing.

Il Microsoft Security Response Center ha risposto rapidamente a questo rapporto sulla sicurezza, risolto le applicazioni vulnerabili e ha apportato alcune modifiche alla guida e al prodotto del pannello di amministrazione di Azure per aiutare i clienti a mitigare questo problema. La vulnerabilità era di tale entità che è stata persino assegnata una taglia di $ 40,000, che gli scopritori hanno deciso di donare.