Иисследователь Хиллай Бен-Сассон из Wiz сообщил, что ему удало | SecAtor

Иисследователь Хиллай Бен-Сассон из Wiz сообщил, что ему удалось взломать Bing и изменить результаты поиска, благодаря уязвимости BingBang, что подкрепил пруфами на Youtube.

Правда, с учетом не очень хорошей репутации Microsoft с точки зрения ИБ и всех обстоятельств раскрытия багу следовало бы назвать GangBang.

Уязвимость позволяла помимо манипуляции поисковой системой Bing позволяла получать доступ к миллионам учетных записей пользователей Office365.

Как выяснили ресерчеры, она была связана с неправильной конфигурацией в облачной службе управления идентификацией и доступом Azure Active Directory, используемой множеством организаций по всему миру.

При этом, по данным Wiz, не менее 35% просканированных приложений оказались уязвимыми для обхода аутентификации Azure.

Углубившись в проблему, исследователи Wiz смогли не только менять результаты для поисковых запросов, но и провести XSS-атаку, скомпрометировав учётные данные абсолютно любого пользователя Bing, который использует Microsoft Office365.

Учитывая, что Bing является 27-м по посещаемости веб-сайтом в мире, а также экстраполируя вредоносный потенциал на другие уязвимые сервисы Mag News, MSN, PoliCheck, Power Automate Blog и т.д., BingBang открывает широкий горизонт для потенциальных атак.

Microsoft оперативно устранила проблему, добавив дополнительные авторизационные проверки, и выпустила отдельное руководство по безопасности.

За обнаружение проблемы исследователи Wiz получили вознаграждение от Microsoft в размере 40 000 долларов, а также овации почти миллиона пользователей.

Если верить разработчику, воспользоваться описанной уязвимостью в дикой природе никому из злоумышленников не удалось. В противном случае - очень пригодилось бы предложенное нами наименование.