Bing’de arama motoru manipülasyonuna izin veren “BingBang” kusuruna bir göz atacağız.
Wiz’den araştırmacılar, arama motoru manipülasyonuna ve hesapların ele geçirilmesine izin vermenin bir yolunu keşfettiler. Söz konusu araştırma, her şeyin Azure Active Directory’yi hedefleyen yeni bir saldırı türünden kaynaklandığı birçok Microsoft uygulamasına odaklanıyor.
Azure Active Directory, dünyanın dört bir yanındaki kuruluşlar tarafından kullanılan tek oturum açma ve çok faktörlü kimlik doğrulama hizmetidir. Microsoft’un kendi sözleriyle, “Yönetim, doğru kişilerin doğru kaynaklara yalnızca ihtiyaç duyduklarında erişmesini sağlar”.
Ne yazık ki, Azure’un nasıl ayarlandığıyla ilgili bir yanlış yapılandırma, potansiyel olarak ciddi sorunların bir araya gelmesine neden oldu. Wiz’e göre ekip, açığa çıkan uygulamaları taramaya başladığında, taradıkları uygulamaların en az %35’i kimlik doğrulama atlamasına karşı savunmasızdı.
Bu özel saldırının belki de en çarpıcı örneği, Bing’e bağlı açığa çıkmış bir yönetici arabiriminin herhangi bir kullanıcının ona erişmesine nasıl izin verdiğidir. Kimlik doğrulamanın atlanması, arama motoru için işlevsel bir yönetici paneliyle sonuçlandı. Araştırmacılar, yalnızca “En iyi film müziği” gibi aramalar için döndürülen sonuçları değiştirmekle kalmadı, aynı zamanda işleri biraz daha ileri götürdü.
Aynı erişim, araştırmacıların bir Siteler Arası Komut Dosyası Çalıştırma saldırısı (XSS) enjekte etmesine ve herhangi bir Bing kullanıcısının Office365 kimlik bilgilerini tehlikeye atmasına da izin verdi. Oradan şunlara erişebilirler:
- özel veriler
- Outlook e-postaları
- SharePoint dosyaları
- Ekip mesajları
Bu özel saldırı “BingBang” olarak adlandırıldı. Wiz, Bing’in dünyada en çok ziyaret edilen 27. web sitesi olduğunu ve bu nedenle açıkça oynamak için büyük bir hedef havuz olduğunu belirtiyor. Ek olarak, çok sayıda başka uygulamada başka güvenlik açıkları vardı. Bunlar, MSN haber bültenleri için bir kontrol paneli olan Mag News ve yasak kelime denetleyicisi olan PoliCheck’ten Power Automate Blog’a (bir WordPress yönetici paneli) ve bir Merkezi Bildirim Hizmeti olan CNS API’ye kadar uzanır.
Buradaki yaramazlık potansiyeli çok çeşitlidir. Bu uygulamalar, Microsoft geliştiricilerine dahili bildirimler gönderebilir veya geniş bir alıcı koleksiyonuna e-posta gönderebilir.
Neyse ki Microsoft bu sorunlar hakkında bilgilendirildi ve en son Bing güncellemesi kullanıma sunulduğunda sorunlar giderilmişti. Kılavuz Belgesinden:
Microsoft, başlangıçta Wiz tarafından keşfedilen ve Microsoft’a bildirilen Azure AD kullanan çok kiracılı uygulamalar için az sayıda dahili uygulamamızı etkileyen bir yetkilendirme hatalı yapılandırmasını ele aldı. Yanlış yapılandırma, harici tarafların etkilenen uygulamaları okuma ve yazma erişimine izin verdi.
Microsoft yanlış yapılandırmayı hemen düzeltti ve sorunu çözmek için ek yetkilendirme denetimleri ekledi ve istenmeyen erişimin gerçekleşmediğini onayladı.
Microsoft, araştırmacılar tarafından özetlenen tüm eylemlerin bu düzeltmeler nedeniyle artık mümkün olmadığını onayladı.
Microsoft, gelecekte yanlış yapılandırma riskini azaltmak için ek değişiklikler yaptı.
İlk Bing sorunu Microsoft’a ilk olarak 31 Ocak’ta bildirildi ve aynı gün düzeltildi. Ek güvenlik açıkları 25 Şubat’ta bildirildi ve 27 Şubat’ta başlayıp 20 Mart’ta sona eren güvenlik açıkları için düzeltmeler yapıldı.
Bu kusurların vahşi ortamda kötüye kullanıldığına dair somut bir kanıt yok gibi görünse de Wiz, Microsoft’a göre Azure Active Directory günlüklerinin “geçmiş etkinlik hakkında bilgi sağlamak için yetersiz” olduğunu belirtiyor. Sonuç olarak, uygulama görünümlerini görüntülemeniz ve herhangi bir şüpheli giriş kanıtı olup olmadığını kontrol etmeniz gerekir.
Bulut uygulamalarını yönetmek, küçük hataların potansiyel olarak büyük sorunlara neden olduğu zorlu ve zorlu bir iştir. Bazen, Microsoft bile tam olarak doğru anlamaz. Umarım buradaki en kötü etki, Dune’u Hackers OST’nin en iyi film müziği noktasından çıkarmak olmuştur… ikincisi çok daha üstün albüm olsa bile. Gerçekten de gezegeni hackleyin.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE