Ранее в этом году в Microsoft Bing была обнаружена уязвимость, которая позволяла злоумышленникам изменять результаты поиска и получать доступ к личной информации о пользователях Bing в таких сервисах, как Teams, Outlook и Office 365. Еще в январе эксперты по безопасности из Wiz обнаружили уязвимость в Конфигурация Azure — платформа облачных вычислений, фактически скомпрометировавшая Bing.
Что известно
Уязвимость была обнаружена в службе Azure Active Directory. Приложения, использующие многопользовательские разрешения платформы, доступны для всех пользователей Azure, поэтому разработчикам следует проверять, какие пользователи имеют доступ к их приложениям. Однако такая проверка обычно не выполняется, что создает потенциальные лазейки для хакеров. Согласно исследованию Wiz, около 25% пользователей имеют с этим проблемы.
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) March 29, 2023
Одним из таких приложений является Bing Trivia. Исследователи смогли войти в программу со своими собственными учетными записями Azure, где они обнаружили систему управления контентом (CMS), которая позволяла им контролировать результаты поиска на Bing.com. Виз отмечает, что любой, кто попадет на страницу приложения Bing Trivia, потенциально может манипулировать результатами поиска Bing для запуска дезинформационных или фишинговых кампаний.
Wiz рекомендует организациям с приложениями Azure Active Directory проверять журналы приложений на наличие любых подозрительных входных данных, которые могут указывать на нарушение безопасности.