2023-03-31 12:57:09
Никакой ИИ уже не поможет Microsoft опередить Google в сфере интернет-поиска. Исследователи из компании
Wiz обнаружили способ , позволяющий манипулировать поисковой системой
Bing и захватывать учетную запись пользователей. Уязвимость получила название
«BingBang», а предоставленное исследование сосредоточено на нескольких приложениях
Microsoft, причем все они связаны с новым типом атак, нацеленных на
Azure Active Directory.
Возможно, наиболее ярким примером этой конкретной атаки является то, как открытый интерфейс администратора, привязанный к
Bing, который позволял любому пользователю получить к нему доступ. Исследователи смогли не только изменить возвращаемые результаты для таких запросов, как
«Лучший саундтрек», но и пойти немного дальше.
Тот же доступ также позволил исследователям провести атаку методом
«межсайтовый скриптинг» (XSS) и скомпрометировать учётные данные абсолютно любого пользователя Bing, который использует
Microsoft Office365. Оттуда специалисты смогли получить доступ к:
личным данным
электронным письмам Outlook
файлам SharePoint
823 views09:57