Иисследователь Хиллай Бен-Сассон из Wiz сообщил, что ему удало | SecAtor
Иисследователь Хиллай Бен-Сассон из Wiz сообщил, что ему удалось взломать Bing и изменить результаты поиска, благодаря уязвимости BingBang, что подкрепил пруфами на Youtube.
Правда, с учетом не очень хорошей репутации Microsoft с точки зрения ИБ и всех обстоятельств раскрытия багу следовало бы назвать GangBang.
Уязвимость позволяла помимо манипуляции поисковой системой Bing позволяла получать доступ к миллионам учетных записей пользователей Office365.
Как выяснили ресерчеры, она была связана с неправильной конфигурацией в облачной службе управления идентификацией и доступом Azure Active Directory, используемой множеством организаций по всему миру.
При этом, по данным Wiz, не менее 35% просканированных приложений оказались уязвимыми для обхода аутентификации Azure.
Углубившись в проблему, исследователи Wiz смогли не только менять результаты для поисковых запросов, но и провести XSS-атаку, скомпрометировав учётные данные абсолютно любого пользователя Bing, который использует Microsoft Office365.
Учитывая, что Bing является 27-м по посещаемости веб-сайтом в мире, а также экстраполируя вредоносный потенциал на другие уязвимые сервисы Mag News, MSN, PoliCheck, Power Automate Blog и т.д., BingBang открывает широкий горизонт для потенциальных атак.
Microsoft оперативно устранила проблему, добавив дополнительные авторизационные проверки, и выпустила отдельное руководство по безопасности.
За обнаружение проблемы исследователи Wiz получили вознаграждение от Microsoft в размере 40 000 долларов, а также овации почти миллиона пользователей.
Если верить разработчику, воспользоваться описанной уязвимостью в дикой природе никому из злоумышленников не удалось. В противном случае - очень пригодилось бы предложенное нами наименование.