Bing.com’un Devralınması, Arama Sonucu Manipülasyonu Etkinleştirilen Güvenlik Açığı


Wiz Araştırma ekibi, güvenlik açığının sorumlu bir şekilde ifşa edilmesi nedeniyle Microsoft tarafından bir hata ödülü olarak 40.000 $ ile ödüllendirildi.

Wiz Research, Azure Active Directory’de (AAD) Microsoft’un Bing.com’unu tehlikeye atan yeni bir saldırı vektörü belirledi. Güvenlik açığı, yanlış yapılandırılmış uygulamalara ve İçerik Yönetim Sistemi (CMS) de dahil olmak üzere çeşitli Microsoft uygulamalarına yetkisiz erişime izin verdi. Bing.com.

Araştırmacılar, Bing.com’un işlevlerini devralabildi, arama sonuçlarını değiştirebildi ve potansiyel olarak milyonlarca Bing kullanıcısının Office 365 kimlik bilgilerinin çalınmasına olanak sağladı. Wiz Research, bu saldırıya “BingBang” adını verdi ve yararlanmak için herhangi bir kod gerektirmedi.

Bing.com'un Devralınması, Arama Sonucu Manipülasyonu Etkinleştirilen Güvenlik Açığı
Bing.com arama sonuçları araştırmacılar tarafından nasıl değiştirildi (İmaj kredisi: WIZ)

Microsoft, güvenlik açığı bulunan uygulamalarını düzeltti ve Wiz Research’ün sorunları sorumlu bir şekilde ifşa etmesinden sonra müşteri maruziyetini azaltmak için bazı AAD işlevlerini değiştirdi. Microsoft, Wiz Research’e 40.000 $ ödül verdi. böcek ödülü.

Araştırmacılar, “Bing Trivia” adlı Microsoft yapımı bir uygulama da dahil olmak üzere internette taranan çok kiracılı uygulamaların %25’inin savunmasız olduğunu buldu. Kendi Azure kullanıcılarıyla Bing Trivia’da oturum açtıktan sonra, Bing.com’a bağlı bir CMS buldular.

Ayrıca, Bing.com’da rastgele arama sonuçlarını kontrol edebildiklerini kanıtlamak için CMS’deki bir anahtar kelimenin içeriğini geçici olarak değiştirdiler. Kötü niyetli biri Bing Trivia uygulama sayfasına erişirse, arama sonuçlarını değiştirebilir, yanlış bilgiler yayabilir ve diğer web sitelerinin kimliğine bürünerek kişisel bilgilerini vermeleri için insanları kandırmaya çalışabilir.

Araştırmacılar ayrıca Siteler Arası Komut Dosyası Yazmayı (XSS) herhangi bir Bing kullanıcısının Office 365 belirtecini tehlikeye atmak. Bing ve Office 365 entegredir ve Bing, kullanıcıların Office 365 verilerini aramasına olanak tanıyan bir “İş” bölümüne sahiptir. Araştırmacılar, bu özelliği kullanarak, kullanıcılardan Office 365 erişim belirteçlerini çalan bir XSS yükü oluşturdu.

Potansiyel bir saldırgan çalınan bir jetonla Bing kullanıcılarının Outlook e-postaları, takvimleri, Teams mesajları, SharePoint belgeleri ve OneDrive dosyaları dahil olmak üzere Office 365 verilerine erişebilir. Milyonlarca kullanıcı, kötü amaçlı arama sonuçlarına ve Office 365 veri hırsızlığına maruz kalabilirdi.

İçinde raporWiz, Azure Active Directory’ye sahip herhangi bir kuruluşun (AAD) çok kiracılı olarak yapılandırılmış ve yetkilendirme kontrolleri olmayan uygulamalar benzer saldırılar için risk altındaydı. Bu nedenle, yöneticilere çok kiracılı erişimin doğru şekilde yapılandırıldığından emin olmaları veya çoklu kiracılık gerekmiyorsa tek kiracılı kimlik doğrulamasına geçmeleri önerilir. Güvenlik açığı bulunan uygulamalardaki geçmiş etkinlikler için günlüklerin kontrol edilmesi de önerilir.

Bing.com’da keşfedilen güvenlik açığı, basit bir geliştirici hatasının kritik sonuçları olabileceğini ve potansiyel olarak dünyanın en popüler web sitelerinden birini kesintiye uğratabileceğini hatırlatıyor. Bulutun altyapı esnekliği inovasyonu hızlandırır ama aynı zamanda değişiklikler ve yeni riskler getirir.

Bu durumda, bir kullanıcı yanlışlıkla hassas bir hizmeti bir düğmeyi tıklatarak internete açabilir. Bulut oluşturucuları olarak, uygulamaları geliştirirken ve dağıtırken kullandığımız çeviklik, güvenlik uygulamalarımızla eşleşmelidir ve güvenlik entegre edilmelidir geliştirme sürecinin her adımında.

  1. Microsoft, BlueBleed ihlalinde kullanıcı verilerini sızdırdı
  2. Bing sunucusu, kullanıcı aramalarını, konum verilerini açığa çıkardı
  3. Microsoft Dynamics 365 kullanıcı sesli kimlik avı burada
  4. Microsoft imzalı sürücüler bilgisayar korsanlarının güvenliği aşmasına izin verir
  5. Kötü amaçlı yazılım dolandırıcılıklarında MS Office’in en çok yararlanılan yazılımı



Source link