Big Bang . Detta har kallats ett säkerhetsbrott som upptäckts i Azure och Bing som inte bara gjorde det möjligt att ändra sökresultaten för Microsoft sökmotor, men också för att injicera skadlig kod för att stjäla all personlig information som tilldelats ditt Office 365-konto, inklusive data som e-postmeddelanden Outlook-e-post, kalenderinformation, Teams-konversationer eller OneDrive filer.
Metoden för att utföra denna sårbarhet har lyckligtvis upptäckts av en säkerhetsforskare och inte en cyberbrottsling. Metoden för att få kontroll över miljontals Office 365-konton var rapporteras till Microsoft Säkerhet Responscenter , den har redan patchats och det är därför modus operandi för detta säkerhetshål delas.
Bing sökresultat hackade
Hillai Ben-Sasson, en forskare vid Wiz Research, lyckades modifiera sökresultaten som Bing returnerade efter behag, ett utnyttjande som han har dubbat BingBang . För att göra detta lyckades han hacka en Bing-administrationspanel som gav tillgång till mer data än man kan tro.
Det första steget var att upptäcka en konstig konfiguration i Azure. En enda kryssruta är allt som skiljer en applikation från att bli "fleranvändare", vilket som standard tillåter alla användare att logga in .
Efter att ha gjort detta hittades en Microsoft-applikation konfigurerad på detta sätt och loggades in. Ben-Sassons användare fick omedelbar tillgång till en CMS-sida som heter "Bing Trivia" , som kontrollerar mer än vad man kan se, inklusive sökresultat. När forskaren hittade ett avsnitt som innehöll några nyckelord och motsvarande sökresultat uppstod frågan: skulle den här appen kunna ändra Bing-sökresultaten?
Det var det verkligen. Den teorin testades genom att ändra sökresultaten för "bästa ljudspår" och ändra det första resultatet från "Dune (2021)" till "Hackers (1995)", med förändringen som omedelbart visas på Bing.
Office 365-kontodata har nåtts
Förutom risken med att avsiktligt manipulera sökresultaten, beslutade man att testa gränserna för denna sårbarhet och testa korsets genomförbarhet -webbplatsskript ( XSS ), en datorsårbarhet eller ett säkerhetshål som är typiskt för webbapplikationer, vilket kan tillåta en tredje part att injicera JavaScript-kod eller annat liknande språk på webbsidor som användaren besöker.
För att göra detta lades en ofarlig nyttolast till det nya sökresultatet. Efter att ha uppdaterat sidan, det nyttolasten kördes framgångsrikt . Snabbt återställde Ben-Sasson ändringarna och rapporterade allt till Microsoft, men en fråga kvarstod i hans sinne: vad kan man göra med denna XSS?
Hillai Ben Sasson@hillaiJag hackade in ett @Bing CMS som gjorde att jag kunde ändra sökresultat och ta över miljontals @Office365-konton.
Hur gjorde jag det? Tja, allt började med ett enkelt klick i @Azure... 👀
Det här är historien om #BingBang 🧵⬇️ https://t.co/9pydWvHhJs29 mars 2023 • 20:338.5K
300
När han inspekterade Bing-förfrågningarna märkte han att en slutpunkt användes för Office 365-kommunikation. Det visar sig att Bing kan utfärda Office-tokens till alla inloggade användare. Designade en XSS-nyttolast med den här funktionen och det fungerade.
Möjligheterna med denna nyttolast som kan injiceras i miljontals Office 365-konton inkluderar följande personlig information kopplad till ditt Microsoft-konto : e-postmeddelanden, kalendrar, Teams-meddelanden, SharePoint-dokument, OneDrive-filer, etc. Och allt är tillämpligt på alla Bing-användare.
Microsoft Security Response Center svarade snabbt på denna säkerhetsrapport, fixade de sårbara applikationerna , och gjorde några ändringar i Azures adminpanelguide och produkt för att hjälpa kunder att lindra det här problemet. Sårbarheten var av sådan omfattning att en prispeng på $40,000 XNUMX till och med delades ut, som upptäckarna beslutade att donera.