Bing.com’da yakın zamanda keşfedilen bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı, önemli güvenlik endişelerini artırdı ve potansiyel olarak saldırganların Microsoft’un birbirine bağlı uygulamaları üzerinden hazırlanmış kötü amaçlı istekler göndermesine olanak sağladı.
Bing’in ana etki alanında tanımlanan bu güvenlik açığı, yaygın web hizmeti entegrasyonlarıyla ilişkili risklerin altını çiziyor ve büyük ölçekli istismar potansiyelini vurguluyor.
Güvenlik açığı, Bing’in API saldırı yüzeylerinin ayrıntılı bir incelemesi sırasında, özellikle Bing’in ana etki alanının diğer Microsoft hizmetleriyle nasıl etkileşime girdiğine odaklanılarak ortaya çıkarıldı.
Araştırma, Bing’in ana etki alanı ‘www.bing.com’da rastgele JavaScript yürütmek için bir XSS güvenlik açığından yararlanılabileceğini ortaya çıkardı.
Araştırmacı “pedbap”, bu yürütmenin daha sonra Outlook, Copilot ve OneDrive gibi kullanıcıların varsayılan olarak oturum açtığı diğer Microsoft uygulamalarını hedef alan kötü amaçlı istekler oluşturmak için kullanılabileceğini gözlemledi.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Saldırı Mekanizması
Saldırı, kötü amaçlı bir bağlantı oluşturmak için XSS güvenlik açığından yararlanılarak başlar. Bu bağlantı, saldırganların Bing’in ana etki alanı bağlamında JavaScript yürütmesine olanak tanır.
Bing’in diğer Microsoft hizmetleriyle entegrasyonu göz önüne alındığında, kötü amaçlı komut dosyası bu platformlarda hassas eylemleri tetikleyen istekler gönderebilir.
Milyonlarca kullanıcı her gün Bing’in özellikleriyle etkileşime girdiğinden, Bing’in yaygın kullanımı saldırının potansiyel etkisini artırıyor. Kötü amaçlı JavaScript yürütüldükten sonra birden fazla Microsoft hizmetindeki kullanıcı verilerine erişebilir.
Buna Outlook’ta e-postaların okunması, OneDrive’daki dosyalara erişilmesi ve diğer bağlı uygulamalardaki verilerin potansiyel olarak değiştirilmesi de dahildir. Microsoft ekosisteminin birbirine bağlı yapısı, bir hizmetteki ihlalin diğer hizmetlerde kademeli etkilere sahip olabileceği anlamına geliyor.
Keşif, hem kullanıcılar hem de Microsoft için önemli güvenlik sonuçlarını vurguluyor. Bing gibi güvenilir bir alandan XSS saldırıları yürütme yeteneği, yetkisiz veri erişimine ve manipülasyonuna yol açabileceğinden ciddi bir tehdit oluşturur.
Ayrıca, bu tür güvenlik açıklarının “solunabilir” olma (kullanıcı etkileşimi olmadan otomatik olarak yayılma) potansiyeli, yaygın kullanım riskini artırır.
Microsoft bu güvenlik açığı konusunda uyarıldı ve etkilenen sistemlere düzeltme eki uygulamak için hızlı bir şekilde harekete geçmesi bekleniyor.
Kullanıcıların, güvenilmeyen kaynaklardan gelen bağlantılara tıklarken dikkatli olmaları ve tarayıcılarının ve güvenlik yazılımlarının güncel olduğundan emin olmaları önerilir.
Daha geniş güvenlik önlemlerinin bir parçası olarak, Microsoft hizmetlerini kullanan kuruluşlar, yetkisiz erişimi önlemek için yapılandırmalarını ve erişim kontrollerini gözden geçirmelidir.
Bing.com’daki bu XSS güvenlik açığı, özellikle birbirine bağlı dijital ekosistemlerde güçlü web güvenliği uygulamalarının öneminin kritik bir hatırlatıcısıdır.
Gelişen tehditlere karşı koruma sağlamak için güvenlik protokollerinin sürekli izlenmesi ve güncellenmesi ihtiyacını gösterir.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.