Esta falha do Bing permite que os hackers alterem os resultados da pesquisa e roubem seus arquivos

gurinho

Recentemente, um pesquisador de segurança conseguiu alterar os principais resultados do mecanismo de pesquisa Bing da Microsoft e acessar os arquivos privados de qualquer usuário, potencialmente colocando milhões de usuários em risco – e bastou fazer login em uma página da Web não segura.

A exploração foi descoberta pelo pesquisador Hillai Ben-Sasson em sua equipe na Wiz, uma empresa de segurança em nuvem. De acordo com Ben-Sasson , isso não apenas permitiria que um invasor alterasse os resultados de pesquisa do Bing, mas também concederia acesso a milhões de arquivos e dados privados de usuários.

Apelidado de BingBang pelo grupo de pesquisa, a vulnerabilidade centrada no Azure Active Directory da Microsoft, que é usado por empresas para gerenciar identidades de usuários e acesso a aplicativos. Infelizmente, se um aplicativo estiver configurado incorretamente, qualquer usuário do Azure no mundo poderá fazer logon nele sem as credenciais adequadas.

Surpreendentemente, os pesquisadores observaram em uma análise técnica do bug que até 25% de todos os aplicativos multiusuário que eles examinaram eram vulneráveis ​​– incluindo um aplicativo da Microsoft chamado Bing Trivia.

Depois de explorar a falha para fazer login no aplicativo Bing Trivia, a equipe do Wiz encontrou um sistema de gerenciamento de conteúdo (CMS) vinculado ao Bing.com que controlava os resultados ao vivo do mecanismo de pesquisa. Com um toque de humor, eles alteraram uma das entradas, mudando o resultado principal para 'melhores trilhas sonoras' da trilha sonora de Dune para o do filme Hackers de 1995.

No entanto, não há nada de engraçado no que essa falha implica. Como explicaram os pesquisadores, “um ator mal-intencionado acessando a página do aplicativo Bing Trivia poderia, portanto, adulterar qualquer termo de pesquisa e lançar campanhas de desinformação, bem como fazer phishing e se passar por outros sites”.

Roubar arquivos e e-mails privados

Uma comparação dos resultados da pesquisa do Bing antes e depois da exploração do BingBang foi aplicada, mostrando como a lista de trilhas sonoras de filmes recomendadas pode ser alterada.

Além disso, os pesquisadores foram capazes de adicionar uma carga inofensiva de cross-site scripting (XSS) ao Bing enquanto eles estavam conectados. Isso foi capaz de funcionar conforme o esperado, sem interferência. Depois de relatar o problema à Microsoft, os pesquisadores tentaram modificar essa carga XSS para ver o que era possível.

Como o Bing se integra ao Microsoft 365 , a equipe do Wiz conseguiu criar um script que poderia roubar os tokens de acesso de um usuário conectado, concedendo-lhes acesso aos dados da nuvem desse usuário. Isso pode incluir e-mails do Outlook , calendários, mensagens do Teams, arquivos do OneDrive e muito mais.

Juntos, isso significa que um hacker pode ter o poder de redirecionar os resultados de pesquisa do Bing para um site malicioso e, ao mesmo tempo, coletar dados privados de qualquer usuário conectado em uma conta do Microsoft 365. Tudo a partir da exploração de uma simples vulnerabilidade de login.

Felizmente, os pesquisadores relataram imediatamente a falha à Microsoft e ela foi corrigida logo depois, resultando em uma recompensa de US$ 40.000 pelo bug. No entanto, continua sendo um exemplo alarmante de quão pouco esforço pode ser necessário para roubar dados privados de milhões de usuários desavisados.